¿Qué es el ransomware PyLocky? ¿Y cómo ejecuta su ataque?
PyLocky ransomware es un malware de bloqueo de archivos creado para bloquear archivos importantes y exigir el rescate de las víctimas a cambio de la recuperación de datos. Este nuevo ransomware utiliza la extensión .lockymap para marcar los archivos que encripta. Comienza a ejecutar su ataque dejando caer la siguiente carga maliciosa en el sistema:
Nombre: facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
Tamaño: 5.3 MB
Después de soltar su carga maliciosa, este malware criptográfico conecta la computadora infectada a un servidor remoto donde descarga más archivos maliciosos y los coloca en las carpetas del sistema. Luego aplica un módulo de recopilación de datos utilizado para recopilar datos sobre el usuario y la computadora. Los archivos maliciosos que se descargaron anteriormente junto con los datos obtenidos se usan para otro módulo llamado protección sigilosa. Esto permite que el ransomware PyLocky ejecute su ataque sin ser detectado por ningún programa de seguridad o antivirus instalado en el sistema. También modifica algunas claves de registro y entradas en el Registro de Windows como:
- PanelDesktop HKEY_CURRENT_USERControl
- HKEY_USERS.DEFAULTPanel de controlEscritorio
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsVersión actualEjecutar
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsVersión actualEjecutar una vez
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Una vez que se llevan a cabo todas las modificaciones, el ransomware PyLocky comenzará a cifrar sus archivos de destino utilizando un cifrado de cifrado sofisticado. Después del cifrado, agrega la extensión .lockymap a cada uno de los archivos cifrados y libera una nota de rescate llamada "LOCKY-README.txt" que contiene el siguiente contenido:
"Por favor tenga en cuenta:
Todos sus archivos, imágenes, documentos y datos se han cifrado con cifrado de grado militar RSA ABS-256.
Tu información no se pierde. Pero encriptado.
Para que pueda restaurar sus archivos, debe comprar un Decrypter.
Siga estos pasos para restaurar sus archivos.
1 * Descargue el navegador Tor. (Solo escribe en google "Descargar Tor"
2 'Navegar a URL: http://4wcgqlckaazungm.onion/index.php
3 * Compre el Decryptor para restaurar sus archivos.
Es muy simple. Si no cree que podamos restaurar sus archivos, puede restaurar 1 archivo de formato de imagen de forma gratuita.
Tenga en cuenta que el tiempo corre. El precio se duplicará cada 96 horas, así que úselo sabiamente.
Tu identificación única:
AVISO:
No intente modificar ni eliminar ningún archivo cifrado, ya que será difícil restaurarlo.
APOYO:
Puede ponerse en contacto con el servicio de asistencia para descifrar sus archivos.
Haga clic en soporte en http://4wcgqlckaazungm.onion/index.php ”
¿Cómo se propaga el ransomware PyLocky en la web?
El ransomware PyLocky se propaga mediante campañas de correo electrónico no deseado malicioso. Los creadores de esta amenaza incrustan un archivo adjunto infectado en correos electrónicos no deseados y los envían mediante un robot de spam. Los delincuentes pueden incluso usar tácticas engañosas para engañarlo para que abra el malware cargado de inmediato, algo que no debe hacer. Por lo tanto, antes de abrir cualquier correo electrónico, asegúrese de haberlo revisado a fondo.
Para eliminar con éxito el ransomware PyLocky de su computadora, consulte la guía de eliminación que se detalla a continuación.
- Paso 1: Inicie el Administrador de tareas simplemente tocando las teclas Ctrl + Shift + Esc en su teclado.
- Paso 2: En el Administrador de tareas, vaya a la pestaña Procesos y busque el proceso denominado factura_4739149_08.26.2018.exe y cualquier proceso de aspecto sospechoso que ocupa la mayor parte de los recursos de su CPU y probablemente esté relacionado con el ransomware PyLocky.
- Paso 3: Después de eso, cierre el Administrador de tareas.
- Paso 4: Toca Win + R, escribe appwiz.cpl y haga clic en Aceptar o toque Entrar para abrir la lista de programas instalados del Panel de control.
- Paso 5: Debajo de la lista de programas instalados, busque PyLocky ransomware o algo similar, y luego desinstálelo.
- Paso 6: A continuación, cierre el Panel de control y toque las teclas Win + E para iniciar el Explorador de archivos.
- Paso 7: Navegue a las siguientes ubicaciones a continuación y busque los componentes maliciosos del ransomware PyLocky como factura_4739149_08.26.2018.exe y LOCKY-README.txt así como otros archivos sospechosos, luego elimínelos todos.
%TEMPERATURA%
% WINDIR% System32Tasks
% APPDATA% MicrosoftWindowsTemplates
% PERFIL DE USUARIO% Descargas
% PERFIL DE USUARIO% Escritorio
- Paso 8: Cierra el Explorador de archivos.
- Paso 9: Toque Win + R para abrir Ejecutar y luego escriba regedit en el campo y toque Intro para abrir el Registro de Windows.
- Paso 10: Navegue a la siguiente ruta:
PanelDesktop HKEY_CURRENT_USERControl
HKEY_USERS.DEFAULTPanel de controlEscritorio
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsVersión actualEjecutar
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsVersión actualEjecutar una vez
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
- Paso 11: Elimine las claves de registro y las subclaves creadas por el ransomware PyLocky.
- Paso 12: Cierre el Editor del registro y vacíe la Papelera de reciclaje.
Intenta recuperar tus archivos cifrados con las copias de Shadow Volume
Restaurar sus archivos encriptados usando Windows Versiones anteriores La función solo será efectiva si el ransomware PyLocky no ha eliminado las instantáneas de sus archivos. Pero aún así, este es uno de los mejores métodos gratuitos que existen, por lo que definitivamente vale la pena intentarlo.
Para restaurar el archivo encriptado, botón derecho del ratón en él y seleccione Propiedades, aparecerá una nueva ventana, luego proceda a Versiones anteriores. Cargará la versión anterior del archivo antes de que se modifique. Después de que se cargue, seleccione cualquiera de las versiones anteriores que se muestran en la lista, como la de la siguiente ilustración. Y luego haga clic en el Restaurar del botón.