Ransomware Rapid - ¿Como eliminarlo?

El ransomware Rapid es un virus extremadamente peligroso que se distribuye de manera activa en Europa y los EEUU ahora mismo. Según se informa este virus fue publicado en Enero de 2018 y ha estado infectando a miles de usuarios desde entonces, la mayoría de ellos en Europa. Es una infección ransomware típica y única al mismo tiempo – incluye algunos de los atributos que son típicos de este tipo de infección y al mismo tiempo hay algunas cualidades que son bastante extrañas.

Por ahora, en Agosto de 2018, hay 4 variantes en total del ransomware Rapid. No son muy diferentes técnicamente, pero tienen extensiones de archivos encriptados independientes, cripto emails y notas de rescate diferentes. Desafortunadamente, no hay un desencriptador oficial para ninguna de las versiones de ransomware previamente mencionadas, aunque el equipo de 2-viruse.com ha preparado una guía simple (que encontrará al final de este artículo) sobre cómo eliminar y potencialmente restaurar sus archivos restaurados.

Qué es especial sobre el ransomware Rapid

Normalmente, si se encuentra con una infección ransomware, escaneará su ordenador en busca de archivos que están guardados en su disco duro y luego los encripta, así que no será capaz de volver a usarlos. Luego, pide un pago del rescate para poder recibir la clave de desencriptación y recuperar sus archivos. En este caso, el virus Rapid se mantendrá activo incluso tras la encriptación original y todos los nuevos archivos que cree o descargue en su ordenador serán encriptados sobre la marcha. Eso significa que simplemente tiene que eliminar el virus de su ordenador si quiere continuar usándolo, sin tener que reinstalar el sistema operativo ni pagar el rescate.

Sin embargo, incluso aunque algunos ciber especialistas digan que realizar un pago a los hackers es la única opción para recuperar sus archivos, según la Investigación de Kaspersky 1 de cada 3 víctimas elige esta opción, pero solo el 20% de ellas van a recibir el código de desencriptación que prometen los hackers en su nota de rescate. Por eso enviar Bitcoins a los desarrolladores del ransomware Rapid sería jugársela, sin saber si solo ha perdido sus archivos o además miles de dólares. Para datos más estadísticos sobre el ransomware, visite Comparitech.com.

Ahora, hablemos sobre características específicas de la infección en sí. Como de costumbre, los virus ransomware encriptan archivos añadiendo algún tipo de extensión al final de ellos. En este caso, el ransomware Rapid añadirá la extensión “.rapid”. Así que si tiene un archivo llamado “photo.jpg”, tras la encriptación será “photo.jpg.rapid” y de ahora en adelante no será capaz de abrirlo. Lo siguiente – tras la encriptación, se colocará un archivo llamado “”! How Decrypt Files.txt”‘ en su escritorio. Contiene este mensaje:

¡Hola!

Todos sus archivos han sido encriptados por nuestra parte

Si quiere restaurar los archivos escriba al e-mail – [email protected]

Como puede ver, cualquier detalle (la cantidad del rescate y cómo debe pagarlo) no se incluye. En su lugar, se le anima a contactar con los cibercriminales en [email protected]. De hecho hay más direcciones de email asociadas con este virus, así que pueden variar. Sugerimos no hacerlo – pagar el rescate o siquiera contactar con esos criminales casi siempre es una mala idea. Como hemos mencionado antes, la encriptación realizada por el ransomware Rapid es un proceso en curso y escaneará constantemente su ordenador en busca de archivos nuevos, así que es muy importante eliminar el virus lo antes posible.

Como se distribuye el ransomware Rapid

Se descubrió al primer ransomware Rapid viajando a través de campañas de emails de spam llamadas ‘Please Note – IRS Urgent Message-164’ que parecía un mensaje enviado por el servicio de Pagos de Hacienda. En estos emails, se añadían como adjuntos archivos maliciosos del virus. Los hackers intentan engañar a los usuarios para que piensen que han recibido algún correo importante y deben abrir el adjunto para ver más detalles. Así que, lección número uno – nunca abrir emails de la catego´ria de spam, especialmente con archivos adjuntos, si quiere mantenerse alejado del ransomware. Además, eche un vistazo a la Guía de Protección Definitiva contra el Ransomware.

Versiones del ransomware Rapid

Nombre	Fecha de publicación	Extensión	Email de contacto	Nota de rescate
Rapid (Original)	Enero, 2018	.Rapid, .RPD, .EZYMN .paymeme	[email protected], [email protected], [email protected], [email protected].	How Recovery Files.txt, !!! txt the README, How Recovery File.txt
Rapid 2.0	Marzo, 2018	.[8 random numbers]	[email protected] [email protected]	DECRYPT.[5 random numbers].txt
Rapid 3.0	Mayo, 2018	.Rapid .EZYMN	[email protected]	How Recovery Files.txt !!! txt the README
RPD	Junio, 2018	.RPD	[email protected]	How Recovery File.txt
Rapid V1	Agosto, 2018	.no_more_ransom	[email protected]

Ransomware Rapid 2.0

La segunda versión que fue publicada tras 2 meses del ransomware Rapid original, tenía las mismas cualidades y características. La única diferencia es la extensión que está formada por 8 dígitos diferentes y la nota de rescate que se nombra tras 5 dígitos aleatorios. Otra característica interesante es que Rapid 2.0 ha sido detectado excluyendo a Rusia de los países objetivo, que luego llevó a creer a los investigadores en que el virus Rapid tiene su origen en esa región.

Ransomware Rapid 3.0

Rapid 3.0 es la actualización de los virus ransomware Rapid anteriores, detectado en la red en Mayo de 2018. Esta versión tuvo más presencia en los EEUU y los países de Europa occidental, como España y Francia. El algoritmo de encriptación sigue siendo el mismo (AES), pero la cantidad de rescate es realmente significativa – 0.7 BTC (alrededor de 5000USD). Se ha añadido una nueva secuencia que bloquea archivos en esta versión – .EZYMN. Por último, se ha usado un nuevo cripto-email ([email protected]) como burla a un conocido investigador de malware MalwareHunterTeam, conocido como # en Twitter, ya que ha ayudado a muchas personas a desencriptar sus archivos con sus desencriptadores y otras cosas.

Ransomware RPD

La cuarta variante, que no tiene características significativas. Sigue distribuyéndose a través de adjuntos de email, usa cifrado AES para bloquear los archivos, añade la extensión .RPD a los archivos inaccesibles, deja la nota de rescate ‘How Recovery File.txt’ y le pide que contacte con el email [email protected] email para tener más instrucciones sobre cómo restaurar los datos bloqueados. La cantidad del rescate es diferente para cada usuario, pero probablemente la clave de desencriptación no se enviará tras el pago.

Ransomware Rapid V1

Rapid V1 es la variante más reciente del virus Rapid. Usa el mismo viejo cifrado AES para encriptar datos personales y adjunta la extensión .no_more_ransom a todos los archivos afectados. Además, se distribuye cono un método típico de ransomware – malspam y puede descubrirse de manera manual en la sección de procesos como ‘rapid.exe’. En general, en comparación con las otras versiones, no hay actualizaciones significativas, a excepción de que el email del hacker ha cambiado. La notad de rescate dice:

¡Hola, estimado amigo!

Todos sus archivos han sido ENCRIPTADOS

¿De verdad quiere restaurar sus archivos?

Escriba a nuestro email – [email protected]

Y dinos su ID única

Más datos técnicos en los Resultados del escaneado de VirusTotal.

Cómo eliminar el ransomware Rapid y recuperar los archivos bloqueados

Discutiblemente, la mejor manera de eliminar virus como el ransomware Rapid y sus variantes es escanear su ordenador con un programa antimalware y dejar que haga el trabajo. Si todavía no tiene uno o no ha logrado detectar y eliminar el ransomware Rapid, recomendamos encarecidamente probar Spyhunter para esta tarea. Cualquiera de estos programas detectará y eliminará fácilmente todos los archivos asociados con Rapid. También se asegurará de que su ordenador nunca vuelva a ser infectado por malware otra vez, así que manténgalo instalado.

Herramientas de extracción Malware automática

Desafortunadamente, los archivos que ya han sido encriptados podrían haberse perdido para siempre. Este virus ejecuta comandos especiales que eliminan las shadow copies de sus archivos, así que si no tiene una copia de seguridad almacenada en un disco externo o en la nube, podría no ser capaz de realizar una restauración del sistema. Por ahora, no hay disponible un desencriptador para este virus, según el Proyecto Nomoreransom.org. Sin embargo, le recomendamos que mantenga los archivos bloqueados guardados en su PC, hasta que los profesionales de seguridad desarrollen el desencriptador especial.

¿Cómo eliminar Ransomware Rapid usando Restauración del Sistema?

1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando

1. Modo seguro

Para Windows 7/ Vista/ XP

• l Inicio → Apagar → Reiniciar → OK.
• l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
• l Elegir Modo Seguro con Solicitud de Comando.

Para Windows 8 / 10

• l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
• l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
• l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.

2. Restaurar archivos y configuraciones del Sistema.

• l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
• l Luego introduzca rstrui.exe y presione Intro otra vez.
• l Haga clic en “Siguiente” en la ventana que apareció.
• l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Ransomware Rapid en su sistema y luego haga clic en “Siguiente”.
• l Para iniciar la restauración del Sistema haga clic en “Sí”.

2. Complete la eliminación del Ransomware Rapid

Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Ransomware Rapid .

3. Restaure los archivos afectados por Ransomware Rapid usando Shadow Volume Copies

Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Ransomware Rapid intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.

Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.

a) Versiones Anteriores nativas de Windows

Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.

b) Shadow Explorer

Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.

Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.

La extracción manual Ransomware Rapid