La peor parte sobre el ataque de ransomware promedio es que la víctima se bloquea de sus datos personales. Aunque normalmente no es problemático deshacerse del código malicioso en sí, la información importante permanece inaccesible hasta que el usuario infectado la redime pagando. La variante más reciente de la especie de ransomware Dharma sigue este camino particular, cifrando archivos y añadiendo la extensión .onion a ellos.
¿Qué es el ransomware Onion?
Como se mencionó anteriormente, la extensión de archivo .onion es un indicador de compromiso que acompaña a la última operación de ransomware de Dharma. Esta familia de virus criptográficos tiene un montón de antecedentes, con altibajos, así como descargas inesperadas de claves de descifrado maestro que se produjeron dos veces en los últimos seis meses. Independientemente de la edición, este vicioso contagio digital ha estado aplicando consistentemente un robusto mecanismo criptográfico que frustra el descifrado. En otras palabras, cuando se enfrentan a ella, las víctimas se encuentran en problemas y corren el riesgo de perder todos los archivos personales, documentos, imágenes, bases de datos, videos y otros tipos de datos.
El ransomware Onion, que es la forma en que se hace referencia, afecta a los archivos de varias maneras. En primer lugar, emplea un combo de cifras RSA y AES para hacer imposible que el usuario plagado tenga acceso a la información. No es posible abrir ni editar las entradas codificadas como resultado de tal impacto. En segundo lugar, el troyano también modifica la apariencia externa de los archivos de destino. Toma el nombre de archivo original y los sufiende con una cadena de acuerdo con el siguiente patrón: id- [identificador de víctima]. [Dirección de correo electrónico del atacante] .onion. Para obtener una mejor idea de los resultados, he aquí una muestra de la manifestación de una entrada de datos arbitraria afectada por la plaga: Q1_Report.pdf.id-6A563F28. [Volantem_diem@aol.com] .onion. El ID es único para cada usuario y el correo electrónico varía de una campaña a otra. Algunas de esas direcciones que entraron en el centro de atención de los investigadores son volantem_diem@zoho.eu, felix_dies@aol.com y nicecrypt@india.com.
Para que la víctima sepa exactamente lo que está pasando y cómo solucionar el problema, el ransomware de Onion coloca uno o varios archivos de ayuda en el escritorio y dentro de carpetas que abarcan datos bloqueados. Esta nota de rescate se denomina Info.hta, con un complemento de texto plano adicional probable que es Readme.txt. El mensaje de advertencia en ambos va, “Todos los archivos se han cifrado debido a un problema de seguridad con su PC. Si desea restaurarlos, escríbanos al correo electrónico volantem_diem@aol.com “, donde la dirección corresponde a la sub-campaña de extorsión específica.
El usuario debe escribir su identificación personal en el título del mensaje, enviarlo y esperar una respuesta con pasos más detallados. En pocas palabras, el descifrado se reduce a presentar un rescate de 0.5-1 BTC a la cartera Bitcoin de los delincuentes. Después de que se haya confirmado este pago, los actores de la amenaza supuestamente proporcionarán la herramienta de descifrado. También dicen ser capaces de restaurar hasta cinco archivos no muy importantes antes del pago, siempre y cuando la víctima les pide. El virus de extensión de archivo .onion se distribuye a través de correo no deseado. Una botnet involucrada en este proceso genera correos electrónicos masivos con archivos contagiosos adjuntos a ellos. Estos archivos adjuntos suelen ser archivos ZIP con un archivo JavaScript dentro, que a su vez dispara un comando de PowerShell para ejecutar la infección en el equipo de un destinatario. Así que tenga cuidado con los correos electrónicos de pescado que pretenden ser facturas, quejas de ISP, facturas de servicios públicos, ofertas de trabajo y sujetos de arresto similares – nunca abra los archivos que llevan. La parte de abajo incluye algunos consejos de prevención de ransomware más y proporciona la totalidad de las técnicas de solución de problemas en caso de que este troyano específico ya está dentro y ha convertido los archivos en inaccesibles.
¿Cómo remover del virus ransomware Onion?
Eliminación automática del virus con la extensión .onion
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Métodos para restaurar archivos encriptados por .onion
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware Onion crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Compruebe si se ha eliminado completamente el ransomware de Onion
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.