Cada ataque de ransomware es acompañado por un número de distintos indicadores de compromiso, los cuales son únicos por diferentes cargas de amenazas de archivos encriptados. En primer lugar, aquellos incluyen el flujo de trabajo de intercambio de claves encriptados, extensiones añadidas a los archivos de la víctima, y cosas como notas de rescate que dan instrucciones a los usuarios infectados para recuperar sus datos. Si este último Inversión de Control (IOC) abarca un conjunto de documentos denominados “Decrypt My Files” en formatos TXT, HTML y VBS, entonces el Troyano Cerber es el culpable.
¿Qué es el ransomware Cerber?
Un estancamiento en el progreso del ransomware es más una utopía que algo que pueda ocurrir en cualquier momento en el futuro cercano, dada las ganancias inimaginables de estas amenazas para los actores cibernéticos maliciosos que los distribuyen. Hemos visto a los virus encriptados cambiar últimamente hacía un modelo de afiliación, el cual fue un movimiento que varios expertos habrían encontrado poco realista sólo unos meses antes. Y ahora, la cosa más novedosa es un ransomware que habla. Esta función está construida dentro del código de Cerber, un recién llegado al dominio de extorsión digital. El Troyano encripta los archivos de sus presas más allá de una recuperación normal y ofrece redimir los datos al enviar 1.24 Bitcoins a la cartera segura del criminal. Tan amargo que parezca, pagar más de $500 como rescate es desafortunadamente la única manera confiable de re-acceder a los archivos personales afectados.
La manera en la que Cerber es promocionado depende en quien realmente se involucra en distribuirlo. Así está la cosa – es uno de los Ransomware como un Servicio, o campañas de RaaS. Esto significa que personas al azar con malas intenciones pueden obtener el código de este malware en ciertos recursos de la darknet y después compartir los pagos de rescate con el desarrollador. La forma más utilizada de ayudar estas plagas es por medio de correos electrónicos con suplantación de identidad (phishing) con archivos autoextraíbles como archivo adjunto. Cuando uno es abierto, la infección es ejecutada en cuestión de segundos. Busca todos los archivos en el Disco Duro y en la red interna que cumplan una serie de formatos predefinidos.
Los archivos codificados son fáciles de encontrar: todos ellos obtienen la extensión .cerber, y los nombres de los archivos son modificados fuera de todo reconocimiento. Echándole un vistazo a una carpeta arbitraria con estos, el usuario también debe observar las instrucciones de rescate. Hay tres de ellos en cada directorio: # Decrypt My Files #.txt, # Decrypt My Files #.html, y # Decrypt My Files #.vbs. El archivo VBS produce un mensaje de audio con instrucciones al momento de abrirse, el cual suena como inteligencia artificial en acción pero en realidad son unas cuantas líneas de código.
La puerta de enlace a Tor indicado en la guía de recuperación apunta a un sitio llamado “Cerber Decryptor”. Las victimas pueden seleccionar su idioma preferido y luego proceder con la parte financiera de la farsa. La página también muestra un reloj en marcha con cuenta atrás de 7 días antes de que el pago de rescate aumente. De nuevo, los profesionales de seguridad no han venido con cualquier mecanismo eficiente de recuperación de archivos hasta el momento. Sin embargo, algunas técnicas valen la pena en términos de recuperar alguno de los datos congelados.
¿Cómo eliminar el ransomware Cerber?
Eliminador automático del virus “Decrypt My Files (Cerber)”
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Métodos para recuperar archivos encriptados
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware Cerber crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Comprobar si el virus “Decrypt My Files” ha sido completamente eliminado
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.