La aparición de nuevas versiones es algo común en el bajo mundo del ransomware. Este grupo prolífico Locky no es la excepción. Menos de un mes después de que la versión pasada llamada Lukitus surgiera, los arquitectos de esta masiva campaña ya han sacado una actualización. La nueva edición utiliza la extensión .ykcol en data recuperada, por eso lleva esta denominación. Este artículo brindará un reporte comprensivo de esta.
¿Qué es el virus ransomware Ykcol?
A pesar de que los analistas de seguridad y usuarios infectados llaman a esta variante de Locky como Ykcol, en realidad esto es un mal entendido. Para eliminar la ambigüedad, es importante declarar desde el principio que esta contaminación sigue siendo Locky, excepto que, ha adquirido un par de características nuevas:
- Lo más notorio es la nueva extensión .ykcol que se agrega como sufijo al archivo encriptado.
- La nota de rescate ahora se llaman ykcol.htm y ykcol.bmp.
- El proceso de distribución por malspam ha sido involucrado con emails contaminados con el tema de “Estado de pago”. Claro, tiene sentido predecir que la llegada de una ola de spams es inminente, así que otros temas serán usados muy pronto.
El archivo adjunto infectado es un tipo de archivo 7z. La entidad VBS extraída de forma aleatoria es la culpable de infectar a su computadora. Una vez cargado, este archivo descarga todo el ransomware Ykcol a su computadora. Después de eso, el Trojan de chantaje se activa y busca archivos valiosos en sus datos. Checa todos lo que no sea archivo interno de la computadora y disco duro, al igual que cualquier dispositivo de almacenado conectado o redes compartidas. Cuando consigue un archivo que cumpla con lo que busca, se extrae de forma encriptada usando un sistema de códigos asimétricos RSA-2048 y simétricos AES-128. Esto bloqueará el acceso a estos archivos seleccionados, queriendo decir que la víctima no podrá abrirlos o editarlos.
Los archivos del usuario secuestrado recibirán un hilo .ykcol al final de estos. Esta extensión es preparada con 36 artículos hexadecimales para hacer imposible el trabajo de encontrar estos archivos. He aquí un ejemplo: una hoja de cálculo llamada, Schedule.xls se convertirá en 644JU6XH-G0SPRFTE-0A5B2D4A-0A78AF2AB2FE.ykcol.
El ramsoware también deja una lista de “como hacerlo” según las opciones para encriptar archivos que el usuario tengo. Estos archivos se llaman ykcol-htm y kcol.bmp, donde llevará una línea de 4 caracteres insertada entre el nombre y la extensión. La versión BMP de las notas de rescare substituye el fondo d pantalla para meter presión adicional a la víctima.
De acuerdo a las recomendaciones de los malhechores, el usuario deberá bajar e instalar el navegador Tor, y poner un URL específico en la barra de direcciones, y seguir las instrucciones en el sitio Locky Decryptor. La recuperación equivale a mandar 0.25 BTC (como $1000) a los perpetradores, para que después puedan enviarte la llave de encriptado con un encriptador automático. Bueno, en el mundo real, confiar en los secuestradores no es muy buen idea. Lo mismo aplica para cyber ataques. Nadie te puede garantizar que recuperaras de forma exitosa sus documentos si accede a las peticiones del secuestrador, esto quiere decir que sus documentos podrían quedar dañados. Siempre es mejor idea intentar todo antes de hacer esto. Los pasos anteriores es un buen lugar por donde empezar.
¿Cómo remover del virus ransomware Ykcol?
Eliminación automática del virus con la extensión .ykcol
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Métodos para restaurar los archivos .ykcol cifrados
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware Ykcol crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Verificar si el ramsomware Ykcol / Locky ha sido eliminado completamente
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.