Philadelphia Ransomware - ¿Como eliminarlo?

Philadelphia Ransomware

El ransomware Philadelphia es una nueva variante del ransomware Stampado, desarrollado por The Rainmaker y vendido en la Dark Web. Esta aplicación RaaS – ransomware como servicio – la aplicación puede hacer que cualquier sea un hacker por sólo 400 USD. The Rainmaker ha anunciado esta nueva pieza de trabajo maliciosa en los foros, específicamente en el sitio criminal AlphaBay Tor, desglosando sus planes utópicos de afectar a 20,000 usuarios el primer día que el criptomalware Philadelphia se publique. Sin embargo, esta nueva versión de RaaS no es tan letal como el desarrollador quiere que creas. El cripto virus Philadelphia está programado en el lenguaje de programación AutoIT y, por ello, puede tener debilidades que hacen que este código malicioso sea posible de descodificar. Fabian Wosar de Emsisoft, la persona más detestada por The Rainmaker, ya que ha desencriptado las dos primeras versiones del ransomware Stampado, dice que el virus Philadelphia puede y será desencriptado.

Acerca del Ransomware Philadelphia

El ransomware Philadelphia, como la mayoría de virus ransomwares, usan la encriptación asimétrica AES para encriptar los datos de las víctimas. Este virus ransomware se centra en los discos duros fijos, extraíbles y redes, así como otras carpetas. Los tipos específicos de archivos que busca incluyen los siguientes:

*.7z;*.asp;*.avi;*.bmp;*.cad;*.cdr;*.doc;*.docm;*.docx;*.gif;*.html;*.jpeg;*.jpg;*.mdb;*.mov;*.mp3;*.mp4;*.pdf;*.php;*.ppt;*.pptx;*.rar;*.rtf;*.sql;*.str;*.tiff;*.txt;*.wallet;*.wma;*.wmv;*.xls;*.xlsx;*.zip

Al igual que Stampado, el encriptador Philadelphia añade la extensión “.locked” (aunque puede personalizarse) a los archivos encriptados. Además de la extensión, cambiará el nombre del archivo de datos por unos números y letras. Por ejemplo, su archivo “Presentacion.ppt”, después del ataque de Philadelphia será algo así – 7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked. Después de terminar la encriptación, la pantalla de la víctima está cubierta con la siguiente nota.

La curiosa propiedad del codificador Philadelphia, desarrollado por The Rainmaker como la característica “más guay”, es que no usa los servidores de C&C (Comando y Control) normal. En su lugar, usa scripts PHO, llamados Bridges, que se usan para almacenar la clave de encriptación de los datos de la víctima, esperando a que se pague el rescate. Un cliente gestor, llamado Philadelphia Headquarters, es otro rasgo interesante de esta comunicación a través de Bridges. Esta consola de gestión almacena los datos y tiene las funciones necesarias para la implementación del ataque. También contiene el botón de “Piedad”, que supuestamente deben clicar los atacantes más piadosos. La consola se parece a esto:

Las otras características, como las carpetas afectadas, el período de tiempo que se da para el pago del rescate (llamado “Ruleta Rusa” – otra alusión al ransomware Stampado), el tamaño del rescate, etc. – todo puede personalizarse en gran medida, por quien haya comprado este asqueroso programa. Por ello la víctima, atacada por el virus encriptador de archivos Philadelphia, nunca puede saber cuánto se le va a pedir, cuánto va a tener de límite de tiempo y si puede pedir piedad o no. Pero no te apresures a arrodillarte ante estas ciber amenazas, especialmente, cuando casi puedes oler el lanzamiento del desencriptador.

¿Cómo se Distribuye el Ransomware Philadelphia?

El ransomware Philadelphia usa las mismas viejas tácticas de los virus troyanos. Se distribuye a través de emails de spam, disfrazado como una nota de pago retrasado del Ministerio de Finanzas de Brasil. Este hecho podría implicar que este ransomware en particular ha sido específicamente diseñado para timar a los usuarios brasileños. Pero, de hecho, el email de spam anterior puede aparecer en la bandeja de entrada de usuarios en cualquier parte del mundo. El aviso falso se parece a este.

Estos emails de phishing incluyen un enlace, que cuando haces clic en él, activa el JavaScript malicioso que descarga y ejecuta la carga del cripto malware Philadelphia en el sistema informático de la víctima. Así es cómo los usuarios se ven castigados por su excesiva curiosidad.

¿Cómo Desencriptar Archivos Encriptados por el Ransomware Philadelphia?

Mientras todos estamos pacientemente esperando por el siguiente desencriptador a que sea lanzado, esos, que no han tenido tanta suerte infectándose con el software malicioso Philadelphia, y no pueden esperar a que ocurra lo anterior. Podemos recomendarle que use un disco de almacenamiento externo en forma de discos extraíbles, que no hayan estado conectados al ordenador durante o después del ataque. Los usuarios afectados también pueden echar un vistazo a las Shadow Volume Copies, ya que todavía no se sabe si este ransomware las elimina o no. Cómo último recurso, pueden emplearse herramientas profesionales de recolección de datos. Estamos hablado de softwares como R-Studio, PhotoRec, Recuva, software de Kaspersky Lab, etc.

Pero antes de apresurarse con la restauración de sus datos arruinados, copie el disco infectado (necesitará algo para usar con el supuesto desencriptador) y, más importante, elimine el ransomware Philadelphia aplicando una de las herramientas: Spyhunter o Malwarebytes. Estos potentes softwares de eliminación de malware escanearán y limpiarán todo su sistema informático, para que ningún código de programa malicioso sea capaz de regenerarse. Las instrucciones para la eliminación manual del malware Philadelphia están justo a continuación.

¿Cómo eliminar Philadelphia Ransomware usando Restauración del Sistema?

1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando

1. Modo seguro

Para Windows 7/ Vista/ XP
  • l Inicio → Apagar → Reiniciar → OK.
  • l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
  • l Elegir Modo Seguro con Solicitud de Comando.Windows 7 enter safe mode
Para Windows 8 / 10
  • l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar. Windows 8-10 restart to safe mode
  • l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
  • l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio. Windows 8-10 enter safe mode

2. Restaurar archivos y configuraciones del Sistema.

  • l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
  • l Luego introduzca rstrui.exe y presione Intro otra vez. CMD commands
  • l Haga clic en “Siguiente” en la ventana que apareció.Restore point img1
  • l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Philadelphia Ransomware en su sistema y luego haga clic en “Siguiente”.Restore point img2
  • l Para iniciar la restauración del Sistema haga clic en “Sí”. Restore point img3

2. Complete la eliminación del Philadelphia Ransomware

Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Philadelphia Ransomware.

3. Restaure los archivos afectados por Philadelphia Ransomware usando Shadow Volume Copies

Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Philadelphia Ransomware intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.

Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.

a) Versiones Anteriores nativas de Windows

Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.

Previous version

b) Shadow Explorer

Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.

Data Recovery Pro

Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.

Herramientas de extracción Malware automática

Descargar Spyhunter para detectar Malware
(Win)

Nota: Ensayo Spyhunter proporciona la detección de parásitos como Philadelphia Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible, Terms of use, Privacy Policy, Uninstall Instructions,

Descargar Combo Cleaner para detectar Malware
(Mac)

Nota: Ensayo Combo Cleaner proporciona la detección de parásitos como Philadelphia Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible,

Fuente: https://www.2-viruses.com/remove-philadelphia-ransomware

Removal guides in other languages

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *