El uso de la codificación asimétrica RSA-4096 no está restringida a propósitos legítimos como la protección de documentos gubernamentales o militares clasificados. Este sistema de codificación extremadamente fuerte también se ha convertido en un peligroso instrumento en las manos de los extorsionistas. Las plagas de ransomware como Teslacrypt, demuestran cómo las tecnologías que previenen el filtrado de información, pueden convertirse en una parte inalienable de la infraestructura cibercriminal.
¿Qué es el ransomware RSA-4096?
Las ediciones más recientes de TeslaCrypt han abierto una caja de Pandora porque presentan una codificación infranqueable. Algunos troyanos ransom emplean el Estándar de Codificación Avanzada o AES, donde las fichas de codificación y recuperación son las mismas. Este método ha sido implementado incorrectamente en un número de incidentes de ataques, los cuales permitieron a los investigadores recuperar la clave pública y así decodificar los archivos de las víctimas. De manera contraria, el RSA usa diferentes claves. La privada puede ponerse disponible para el usuario infectado bajo la condición de que haga un pago como rescate. Por otra parte, la aleatoriedad y tamaño de las claves son lo suficientemente tangibles para que la rutina de cálculos sea inútil. Por lo tanto, el RSA-4096 es un obstáculo insuperable para la recuperación de datos.
Los operadores del virus TeslaCrypt parecen estarse tomando la distribución de la carga muy seriamente. Lanzaron campañas de spam en masa que atraerían a la gente a abrir archivos adjuntos de correo electrónico falsos. Luego, cambiaron la táctica y empezaron a valerse de exploit kits incluyendo Neutrino y Angler. Ahora, un mecanismo adicional que los estafadores están usando para impulsar su troyano, es poniendo en predicamento a sitios construidos con sistemas de administración de contenido open source como WordPress y Joomla.
De una u otra forma, los usuarios infectados se encuentran a sí mismos en una situación donde sus archivos importantes del disco duro y de su red han sido codificados y por lo tanto no están disponibles. El troyano proporciona las instrucciones de restauración en un documento separado llamado “Howto_RESTORE_FILES, HELP_TO_DECRYPT_YOUR_FILES,” o algo parecido. Dice, “Todos sus archivos han sido protegidos por una fuerte codificación con RSA-4096” y lista los pasos para enviar la tarifa, la cual varía entre $300 a $500 dólares. El dinero debe ser enviado a una dirección de Bitcoin, especificada en las instrucciones.
Los archivos comprometidos también obtienen una nueva extensión, que es diferente para cada nueva iteración del TeslaCrypt. Las más recientes son .mp3, .micro, y .xxx. La infección también reemplaza el fondo de pantalla de la víctima con una imagen en blanco y negro que contiene el proceso de recuperación. Al hacer clic en el enlace sugerido del navegador anónimo (TOR), el usuario termina en la página del Servicio de Decodificación diseñado para procesar pagos y albergar la herramienta de decodificación.
Una vez más, tratar de vencer la codificación RSA-4096 es una experiencia muy dolorosa porque la clave privada de recuperación está almacenada en el servidor secreto controlado por los cibercriminales. Dada esta desafortunada peculiaridad, los métodos aplicables no son suficientes. Y sin embargo, los archivos rehenes pueden ser restaurados desde un respaldo, si existiese, y en algunos casos a través del uso de Copias Shadow o software de recuperación.
¿Cómo eliminar el virus de ransomware RSA-4096?
Eliminación automática del virus RSA-4096
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Métodos para restaurar archivos codificados con RSA-4096
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware RSA-4096 crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Verifique si el virus RSA-4096 ha sido completamente eliminado
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.