Se publica una nueva variante del ransomware Dharma/CrySiS, que agrega la extensión .adobe a los archivos cifrados y elimina los FILES ENCRYPTED.txt nota de rescate.
¿Qué es el ransomware .adobe?
El ransomware es una de las pocas clases de código malicioso que hace que las cosas se salgan de control por completo. A diferencia de la abrumadora mayoría del malware, se dirige a un activo insustituible: los datos personales. Infiltración subrepticia en una computadora, una búsqueda de archivos valiosos, la implementación de criptografía para bloquear todos los elementos detectados y las demandas absolutas de rescate: todos estos son componentes comunes de cada ataque. La muestra, o más bien su linaje, denominado Dharma (CrySiS) no se desvía de esta cadena de incursión en absoluto. La única novedad que su última versión ha introducido se reduce a la extensión .adobe agregada a los archivos cifrados, mientras que la nota de rescate llamada FILES ENCRYPTED.txt se comparte con las ediciones anteriores, incluyendo la variación .combo.
Habiéndose ejecutado en una computadora, el ransomware .adobe atraviesa todos los discos reflejados en la estructura del sistema como letras de unidad separadas. Si actualmente hay una unidad extraíble insertada, también está sujeta a esta rutina. El objetivo de esta limpieza es encontrar todos los fragmentos de información que sean importantes para la víctima. Los formatos de archivo que busca Dharma incluyen todos los tipos de documentos de Office, imágenes, videos y bases de datos, entre otros. Una vez que finaliza el escaneo, el módulo criptográfico de la infección ingresa al juego. Codifica los archivos localizados a un nivel profundo, aplicando una mezcla irrecuperable de cifrados AES y RSA. Esta técnica provoca una denegación de acceso a todos los datos importantes del usuario, reemplazando los íconos de archivos con otros en blanco que el sistema operativo no puede identificar.
No solo estos elementos ya no se pueden abrir ni acceder a ellos, sino que también se someten a cambios de nombre de archivo. Los nombres de archivo originales se concatenan con cadenas en el siguiente formato: id-{ID de la víctima que consiste en 8 caracteres hexadecimales}.[correo electrónico del extorsionista].adobe. Hasta ahora, las víctimas han reportado las siguientes cadenas de correo electrónico que aparecen entre corchetes.: stopencrypt@qq.com, y btcdecripter@qq.com. Por lo tanto, un archivo de muestra llamado 1.bmp se convertirá en una entidad gravemente dañada similar a esta: 1.bmp.id-BA2157C1.[btcdecripter@qq.com].adobe.
Si bien la información de contacto de los atacantes incluida directamente en los nombres de archivo es una pista inequívoca sobre qué hacer a continuación, el ransomware .adobe se vuelve más obvio con sus demandas al dejar notas de rescate. Esos son dos objetos: uno es un archivo HTA y el otro es un documento TXT. El primero, Info.hta, es en realidad una aplicación activada automáticamente cuyo título de ventana coincide con la dirección de correo electrónico de los delincuentes. Culpa del cifrado no autorizado a un “problema de seguridad” con la PC y le indica al usuario que envíe un correo electrónico a los malhechores. Se supone que el campo de asunto de este mensaje incluye el ID de víctima único. La lógica de esta interacción es recibir un tutorial de recuperación detallado. La otra edición de la nota de rescate, ARCHIVOS CIFRADOS.txt, contiene el mismo mensaje crudamente compuesto que antes, excepto que la dirección de correo electrónico es diferente. Dice, “Todos sus datos han sido bloqueados por nosotros. ¿Los quiere de regreso? Escriba un correo electrónico a stopencrypt@qq.com” – de nuevo, los detalles de contacto pueden variar.
Al final del día, la víctima se verá obligada a enviar alrededor de 0.2 Bitcoin (por un valor de unos 700 USD) a la cartera de los sombreros de sombreros negros. No es hasta que se realiza el pago que la clave de descifrado y el software de recuperación supuestamente estarán disponibles. Nada de esto sería el caso si los usuarios ejercieran más precaución con la forma en que manejan las conexiones RDP. De hecho, el ransomware Dharma/CrySiS, incluida su nueva variante de archivo .adobe, realiza las rondas exclusivamente mediante la piratería de servicios de escritorio remoto. Las credenciales de acceso predeterminadas o las contraseñas débiles son los puntos de entrada típicos para el traspaso. Al evitar los archivos adjuntos sospechosos y mantener su software actualizado, se mantendrá alejado de la mayoría de las cepas de ransomware, pero el virus .adobe podría contaminar su computadora siempre que sea un usuario imprudente de RDP. Tómelo en cuenta. Para aquellos que ya hayan sido atacados, las siguientes secciones de esta guía les serán útiles ya que brindan métodos alternativos de recuperación de archivos y pasos efectivos de eliminación.
¿Cómo remover de virus ransomware .adobe?
Eliminación automática del virus con la extensión .adobe
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Métodos para restaurar los archivos .adobe cifrados
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware Adobe crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Compruebe si se ha eliminado completamente el ransomware .adobe
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.