Como eliminar el ransomware CryptXXX o UltraCrypter

Como eliminar el ransomware CryptXXX o UltraCrypter

UltraCrypter es una versión bastante reciente de un tipo de amenaza conocida como ransomware o crypto-ransomare, para ser más exactos. Altera tus archivos para que los puedas utilizar ni recuperar, pero es posible eliminar el ransomware CryptXXX/Ultracrypter, y además recuperar los archivos.

ACTUALIZACIÓN

Se ha informado desde Bleeping Computer de una nueva variante de UltraCrypter que, en lugar de utilizar las extensiones de archivo habituales en CryptXXX -acabados en crypt/crypt1/crypz- emplean un sistema de generación aleatoria de extensiones.

Así, mientras en un equipo los archivos afectados podrían tomar la extensión ACOD4, en el equipo de otra víctima podrían ser DA3D1. Una nueva “treta” que emplean los desarrolladores del malware para confundir y entorpecer al usuario cuando busca una solución.

La nota de pago está demás empleando nombres actualmente asinados a @[ID_víctima].txt, .html y .bmp. Así, un usuario con un ID de víctima 14AC2EF20B28 tendría notas de pago como siguen:

  • 14AC2EF20B28.html
  • 14AC2EF20B28.txt
  • 14AC2EF20B28bmp

Información sobre CryptXXX/UltraCrypter

Ultracrypter es una variante de la familia de ransomware CryptXXX.

Ambas amenazas se están distribuyendo a gran escala con el kit de exploit Angler. Este Exploit Kit está dando mucha guerra últimamente y consigue superar en algunos casos las defensas del software de mitigación mejorada de Microsoft.

Como eliminar el ransomware CryptXXX o UltraCrypter

Entrando en sus capacidades técnicas, podemos decir que emplea el algoritmo de cifrado RSA con intercambio de claves de 4096 bits, muy fuertes. En el caso de CryptXXX, los archivos cifrados tomarán la extensión .crypz por defecto, mientras en caso de UltraCrypter lo más común es que sean .cryp1.

96 horas de margen es lo que dan al usuario para realizar el pago y así recuperar sus archivos, al menos en teoría. El monto a pagar para ello es de 1,2 Bitcoins, unos 530 €. Si durante las primeras 96 horas no se ha efectuado el pago, el coste se duplicará, hasta 2,4 BTC.

¿Cómo ha llegado a tu equipo?

El ransomware CryptXXX y su hermanastro UltraCrypter llegan como muchos otros (Locky, Cerber, etc) y es utilizando archivos descargables maliciosos, que llegan adjuntos a tu email, aunque también descargas Torrent manipuladas para engañarte.

Ransomware UltraCrypter

Normalmente el documento en cuestión lleva una macro que realiza la petición de descarga del lote principal del malware, para evadir la detección de algunos antivirus.

UltraCrypter también crea archivos de extensión bmp, txt, y html con las instrucciones de pago.

Como eliminar el ransomware CryptXXX

Para eliminar la amenaza sólo tienes que descargar algunas de las herramientas que propongo a continuación, preferiblemente en modo Seguro.

Hitman Pro Alert

  1. Descarga HitmanPro Alert
  2. Malwarebytes AntiMalware (alternativa)

Recuperar archivos cifrados por CryptXXX

Herramienta Rannoh de Kaspersky

La herramienta antiransomware de Kaspersky fué inicialmente creada para recuperar archivos del ransomware Rannoh, pero la han ido mejorando con el tiempo y se sabe que funciona con las que comento aquí. Al final, CryptXXX no fué tan duro como parecía y pudieron dar con las claves de descifrado.

Necesitas una copia original de un archivo que haya sido afectado (y que esté en buen estado). Es decir, necesitas la copia buena y la copia “mala” de un mismo archivo.

  • Ahora descarga la herramienta y ejecútala

cryptxxx-RannohDecryptor

  • Abre la configuración de RannohDecryptor y elige los tipos de archivo para escanear. No se selecciones la opción de eliminado de archivos cifrados después de descifrar sin estar COMPLETAMENTE seguro de que se abren todos correctamente.
Recuperación alternativa de los archivos

Versiones anteriores de archivos de Windows

La tecnología VSS de Windows podría funcionar (a pesar de que casi cualquier ransomwar intentará acabar con estas copias) por lo que nunca está de más intentarlo antes de darlos por perdidos.

  1. Clic en el archivo infectado > Propiedades > Versiones anteriores
  2. Ahora clic en Copia > Restaurar

Si no aparece nada, es que no hay una copia creada para ese archivo. Pasaremos al siguiente método.

Utilizando Shadow Explorer

  • Descarga Shadow Explorer, la utilidad para revisar la información guardada por Volume Shadow Copy de Windows.
  • Al ejecutarlo veremos (si se han creado y aún permanecen) las fechas de las instantáneas.
  • Seleccione la unidad y la fecha en la que desea restaurar. Doble click y Exportar.

ShadowExplorer

Un comentario en “Como eliminar el ransomware CryptXXX o UltraCrypter

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s