martes, 18 de octubre de 2016

Eliminar Suppteam01@yandex.ru (Ransomware Cryptolocker)

Suppteam01@yandex.ru (Ransomware Cryptolocker)

Si no podemos abrir nuestros archivos personales y te piden que mandes un email a Suppteam01@yandex.ru para recuperarlos, es que tu equipo está afectado por el ransomware CryptoLocker/PClock2. CryptoLocker/PClock2 es virus de tipo ransomware que nos va a cifrar algunos archivos importantes utilizando la clave RSA-2048 (algoritmo de cifrado AES CBC de 256 bits).  Suppteam01@yandex.ru nos va a mostrar un mensaje ofreciéndonos descifrar los datos pagando previamente 2,05 BTC (BTC es la abreviatura de "bitcoin", donde uno Bitcoin tiene un valor aproximado de 600 ).



¿Cómo podemos infectarnos con Suppteam01@yandex.ru?

Podemos infectarnos con Suppteam01@yandex.ru por navegar por sitios web maliciosos o sitios que hayan sido infectado con virus. Un método muy usado para la infección con este ransomware es el drive-by-download, webs vulneradas con scripts maliciosos que buscarán vulnerabilidades en nuestro ordenador para infectarnos. Otro método puede ser mediante emails spam con archivos adjuntos o enlaces a webs maliciosas. Debemos estar atentos a este tipo de emails ya que muchas veces nos intentan engañar haciéndonos creer que tienen un paquete o una carta para nosotros que no han conseguido entregarnos. No debemos ni descargar los archivos adjuntos que traigan ni clicar sobre los enlaces que haya en el email, esto puede infectarnos con Suppteam01@yandex.ru.

El ransomware Suppteam01@yandex.rusecuestra’ una amplia variedad de archivos, incluyendo imágenes, audios y documentos ofimáticos. Entre los formatos de archivos afectados hay que destacar los que llevan las siguientes extensiones: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Al usuario infectado se le notificará mediante la modificación de su fondo de pantalla o mediante un archivo, donde podrá ver el siguiente texto:
Support e-mail: suppteam01@india.com suppteam01@yandex.ru

Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

The single copy of the private key, which will allow to decrypt the files,
located on a secret server on the Internet; the server will destroy the key after 120 hours.

After that nobody and never will be able to restore files.

To obtain the private key for this computer, you need pay 2.05 Bitcoin (~1309 USD)

—————————————————————————————————

Your Bitcoin address:

You must send 2.05 Bitcoin to the specified address and report it to e-mail customer support.

In the letter must specify your Bitcoin address to which the payment was made.

—————————————————————————————————

The most convenient tool for buying Bitcoins in our opinion is the site:
Las víctimas del virus que pagan la multa y siguen las instrucciones del mensaje podrían recuperar sus archivos personales y eliminar el ransomware, pero no es aconsejable hacerlo. En lugar de esto, es aconsejable eliminar el malware siguiendo distintos procedimientos. Pagar el rescate puede llegar a causar más problemas a los usuarios.

¿Qué debemos hacer una vez infectados por Suppteam01@yandex.ru?

En este artículo no voy a poder ayudaros a recuperar los archivos encriptados, sólo voy a daros algunas recomendaciones, como utilizar ShadowExplorer o software (libre) de recuperación de archivos, para recuperar los documentos. El artículo está escrito para ayudaros a eliminar la infección en sí, y si encuentro un método eficiente para recuperar los archivos cifrados, actualizaré el artículo.

  1. Apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red.
  2. Seguir los pasos del siguiente apartado para limpiar la infección y proceder a recuperar las Volume Shadow Copies.
  3. Proceder a la restauración de las copias de seguridad.
  4. Intentar recuperar los archivos con herramientas forenses.
  5. Estar atentos a las actualizaciones de las páginas: https://decrypter.emsisoft.com/https://id-ransomware.malwarehunterteam.com/ o https://www.nomoreransom.org/decryption-tools.html
  6. Herramientas de Kaspersky: http://support.kaspersky.com/viruses/utility.

¿Cómo podemos eliminar Suppteam01@yandex.ru?

Nota: Ten en cuenta que todo el software que aconsejo usar para eliminar este ransomware Suppteam01@yandex.ru es gratuito. Estos pasos están probados y deberían eliminar esta amenaza en los principales navegadores de Windows. Debes seguir todos los pasos en el orden indicado para eliminar satisfactoriamente Suppteam01@yandex.ru
Importante: Si durante el proceso de eliminación de la amenaza tienes algún problema, por favor debes parar.


FASE 1: Eliminar Suppteam01@yandex.ru con HitmanPro Kickstart

    PASO 1: Eliminar Suppteam01@yandex.ru con MalwareBytes Anti-Malware

    Esta es una de las mejores herramientas gratuitas para la detección de malware que nos permite estar protegidos de las posibles infecciones de virus, gusanos, troyanos, rootkits, dialers, spywares y malwares.
    1. Primero descargaremos Malwarebytes Anti-Malware (gratuito) desde mi sección de AntiMalware
    2. Ejecutaremos el instalador descargado y pulsaremos Ejecutar. Nos va a mostrar la pantalla de bienvenida donde pulsaremos Siguiente.
      Inicio instalación Malwarebytes
    3. Instalaremos el programa y seguiremos cada uno de los pasos indicados sin modificar ningún parámetro predeterminado. Cuando termine la instalación chequearemos la opción Habilitar prueba gratuita de Malwarebytes Anti-Malware y Ejecutar Malwarebytes Antimalware y luego pulsaremos Finalizar.
      Finalizar instalación Malwarebytes
    4. Una vez iniciado el programa va a realizar un chequeo de la base de datos y la actualizará en el caso que esté desactualizada.
      Inicializando el programa Malwarebytes
    5. Una vez terminada la actualización podremos realizar un análisis del sistema para encontrar posibles amenazas. Podemos pulsar el botón Arreglar ahora o el botón Analizar ahora para iniciar el análisis.
    6. Empezará el escaneo del ordenador y esperaremos a que termine. Durante el proceso puede detectar algunas amenazas en nuestro ordenador.
      Análisis del sistema por Malwarebytes
    7. Una vez terminado el análisis nos mostrará las amenazas detectadas. Para eliminarlas clicaremos el botón Eliminar seleccionados.
      Amenazas detectadas por Malwarebytes
    8. Después de esto Malwarebytes puede pedirnos reinicar nuestro ordenador para que tengan efecto las acciones realizadas.
      Amenazas eliminadas
    9. Luego podemos ir al Historial y podemos eliminar permanentemente las amenazas que tengamos en Cuarentena. (En mi caso todas).
      Eliminar cuarentena Malwarebytes
    10. En mi canal de Youtube pueden ver un vídeo explicativo de cómo usar el programa Malwarebytes Anti-Malware. (Ver vídeo Malwarebytes)
    11. Volver al principio de Eliminar virus Suppteam01@yandex.ru.
    PASO 2: Analizar el sistema con HitmanPro en busca de otras amenazas

    HitmanPro nos va a permitir escanear el sistema en busca de una segunda opinión, diseñado para rescatar a nuestro equipo contra el malware (virus, troyanos, rootkits, etc.) que han infectado el equipo a pesar de todas las medidas de seguridad que ha tomado (como software antivirus, cortafuegos, etc.).
    1. Descargamos HitmanPro (lo podéis descargar desde mi sección de AntiMalware) y lo guardamos en el escritorio. Descargaremos la versión de 32 o 64 bits dependiendo del sistema operativo que tengamos.
    2. Haremos doble clic en el archivo y veremos la pantalla de inicio, como podemos ver en la imagen.
      Pantalla inicial HitmanPro
    3. Clicaremos en el botón Next Siguiente para instalar el programa. Dependiendo si queremos analizar el sistema una sola vez o si queremos mantener el programa, seleccionaremos la siguiente opción y pulsaremos Siguiente o Next.
      Opciones de instalación HitmanPro
    4. HitmanPro va a empezar a analizar el sistema un búsca de posibles infecciones.
      Análisis del sistema de HItmanPro
    5. Cuando haya terminado, nos mostrará un listado con todas las infecciones encontradas. Haremos clic en el botón Siguiente o Next, para eliminar lo que haya detectado.
      Resultados del análisis HitmanPro
    6. Si nos interesa mantener y seguir usando el programa, clicaremos en Activate free license y usemos la prueba gratuita de 30 días.
      Activar periodo de prueba HitmanPro
    7. En mi canal de Youtube pueden ver un vídeo explicativo de cómo usar el programa HitmanPro (Ver vídeo HitmanPro)
    8. Volver al principio de Eliminar virus Suppteam01@yandex.ru.

    FASE 2: Restaurar los archivos cifrados por el ransomware Suppteam01@yandex.ru


    OPCION 1: Restaurar los archivos cifrados por el ransomware Suppteam01@yandex.ru con ShadowExplorer

    En algunos casos vamos a poder recuperar versiones anteriores de nuestros archivos cifrados. Esto lo podremos hacer con funciones como la de Restaurar el sistema o mediante programas epecíficos como ShadowExplorer.
    1. Descargaremos ShadowExplorer desde su web oficial http://www.shadowexplorer.com/downloads.html y lo instalaremos.
    2. Una vez instalado realizaremos un doble clic en el icono del escritorio.
      Acceso directo ShadowExplorer
    3. Una vez en el programa podremos ver en el desplegable las distintos puntos donde se han realizado las copias. Escogeremos uno donde estén los archivos correctamente.
      Puntos de copias de ShadowExplorer
    4. Buscaremos los archivos o las carpetas que deseemos recuperar, lo seleccionaremos, pulsaremos el botón derecho y le diremos Export.
      Seleccionar archivo o carpeta a recuperar en ShadowExplorer
    5. Escogeremos la carpeta donde queremos recuperar los archivos o carpetas. En el caso de que exista nos pedirá si la queremos sobreescribir.
      Carpeta de destino ShadowExplorer
    6. Repetiremos la operativa tantas veces como queramos hasta recuperar todos los archivos o carpetas que nos interese.
    7. Volver al principio de Eliminar virus Suppteam01@yandex.ru.
    OPCION 2: Restaurar los archivos cifrados por el ransomware Suppteam01@yandex.ru con un software de recuperación de archivos

    Cuando Suppteam01@yandex.ru cifra un archivo le hace una copia, encripta esta copia y elimina el original. Es por esto que podemos usar programas de recuperación de archivos.
    1. Descargaremos la version gratuita de Recuva desde su web oficial https://www.piriform.com/recuva y lo instalaremos.
    2. Una vez instalado realizaremos un doble clic en el icono del escritorio.
      Acceso directo al programa Recuva
    3. Al ejecutarlo por primera vez, vamos a seguir su asistente y pulsaremos Siguiente.
      Asistente de Recuva
    4. Nos va a aparecer una pantalla donde seleccionaremos que tipo de archivos queremos recuperar. Luego pulsaremos Siguiente y continuamos hasta que empiece a buscar.
      Tipo de archivos a recuperar con Recuva
    5. Cuando termine nos mostrará una pantalla con los resultados de búsqueda y seleccionaremos los archivos que queramos recuperar y pulsaremos el botón Recuperar
    6. Nos va a pedir donde queremos guardar los archivos a recuperar, seleccionaremos la carpeta y aceptaremos. 
      Ruta destino de los archivos a recuperar por Recuva
    7. Al finalizar mostrará un mensaje con la información de los archivos recuperados.
      Mensaje de Operación Completada por Recuva
    8. Volver al principio de Eliminar virus Suppteam01@yandex.ru.

    Si el artículo te ha ayudado, puedes compartirlo en las principales redes sociales para que también pueda ayudar a otros usuarios con el mismo problema.






    Solucionavirus.com nace en el año 2012 debido a la necesidad de un blog informativo para cualquier nivel de usuarios, en el que se informe sobre todo tipo de virus informáticos y de la manera de eliminarlos.


    SOPORTE SOLUCIONAVIRUS (OPCIONAL)
    Todos los artículos para la eliminación de malware y las utilidades recomendadas son completamente gratuitas. Si quieres apoyar el trabajo realizado con un donativo, cualquier cantidad será agradecida.

    Puedes recomendar este artículo en las principales redes sociales: 

    No hay comentarios:

    Publicar un comentario en la entrada