1 of 3
Nivel de peligro 9
Tipo: Troyano
Síntomas comunes de infección:
  • Se instala automáticamente sin permisos
  • Se cae el sistema

CryptoJoker Ransomware

Está claro que CryptoJoker Ransomware no es del tipo de malware que puedas tomarte a broma os implemente ignorar. Todo lo contrario: este invasor puede convertirse en tu peor pesadilla. Aunque todo apunta a que este troyano no se ha extendido mucho todavía, no hay duda de que se hará con su parte del “pastel” del malware según vaya pasando el tiempo. Por mucho que —de momento— sea poco común, tenemos que advertirte de que se trata de una amenaza grave y peligrosa, tanto para el sistema operativo como para los archivos personales que haya en el ordenador. Si tu equipo sufre un ataque de este malware y el invasor cumple su objetivo, en principio, vete despidiendo de todos tus documentos, imágenes y bases de datos (¡se cifrarán en cuestión de un minuto!) a no ser, cómo no, que seas de los que guardan meticulosamente copias de seguridad de todo en una unidad de almacenamiento externa. Solo si has sido precavido en cuestiones de protección informática estarás a salvo de la amenaza y podrás recuperar los datos, ya que ni siquiera pagando el rescate exigido por el troyano puedes estar seguro/a de recuperar los archivos. Si no eliminas CryptoJoker Ransomware directamente, además de perder los archivos, es posible que ya no puedas volver a usar el ordenador nunca más.

El archivo de instalación del troyano va camuflado de documento en PDF. Lo más seguro es que se distribuya exclusivamente con spam. Para defenderse de los troyanos, una de las precauciones más importantes es no abrir jamás correos de desconocidos y, menos todavía, hacer clic en enlaces y anexos que no estabas esperando, ni siquiera en emails de gente que conoces y de instituciones aparentemente oficiales, puesto que los mensajes de spam suelen hacerse pasar por algún contacto o por alguna institución para inspirar confianza. Hacen cualquier cosa con tal de despistar. Cuando la gente mira su bandeja de entrada, normalmente no sospecha nada si ve un correo electrónico de algún proveedor de internet conocido o del suyo propio. Evidentemente, los ciberdelincuentes usan tácticas cada vez más sofisticadas para conseguir que la víctima haga clic en el enlace o en los documentos adjuntos, en este caso, un documento .pdf. Una vez que pinchas, ya no hay marcha atrás: el troyano se descarga en tu equipo y empieza rápidamente con su sucia tarea. La única forma de evitar que la complete es que haya una herramienta anti-malware actualizada y efectiva ejecutándose en segundo plano.

El troyano invasor utiliza varios archivos para llevar a cabo su misión. Antes de nada, crea o descarga en el escritorio los siguientes archivos de texto: GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt y РАСШИФРОВАТЬ ФАЙЛЫ.txt. Básicamente, estos documentos contienen la nota de secuestro en inglés y ruso, así como las extensiones afectadas. Adicionalmente, crea los siguientes archivos temporales en el directorio %Temp%: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt y new.bat. A continuación, el malware añade las siguientes entradas al registro, de forma que los archivos ejecutables drvpci.exe, windefrag.exe y winpnp.exe puedan iniciarse automáticamente con Windows:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
  • windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
  • winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”

Aparte de todos los ficheros señalados, crea dos más en el directorio %Appdata%: baefefbed.exe, nombrado aleatoriamente, y README!!!.txt22. Esta es la clave que el troyano crea en el registro para el ejecutable: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe”. Cada uno de estos archivos sirve para realizar determinadas tareas, como enviar información al servidor de comando y control, comprobar y finalizar todos los procesos activos en el administrador de tareas y en el editor del registro, y así sucesivamente.

Hemos comprobado que CryptoJoker Ransomware ataca a todos los documentos, imágenes y bases de datos que tengan las siguientes extensiones: .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql y .pdf. Cuando el ransomware empiece a cifrarte los archivos, rastreará todas las unidades disponibles, incluyendo las unidades de red asignadas, en busca de todo lo que tenga estas extensiones. Cada vez que termine de cifrar un archivo, le añadirá la extensión .crjoker, por ejemplo, mifoto.jpg.crjoker. El troyano invasor emplea para cifrar los archivos un sistema AES-256, que es el que llevan los sistemas Windows para las tareas de cifrado; de esta forma, es probable que el proceso completo se realice en menos de un minuto. A estas alturas ya te habrás dado cuenta de que neutralizar el ataque antes de que cumpla su objetivo es prácticamente imposible, a no ser que tengas superpoderes para reaccionar en una centésima de segundo al ver que no puedes abrir los archivos o que están cambiando sus extensiones sin autorización por tu parte.

Cuando este ransomware termina su carrera de destrucción por todas las unidades disponibles, abre una ventanita en el escritorio, por encima de todas las demás ventanas activas, con las instrucciones en inglés y en ruso. El invasor se asegura previamente de que no puedas acceder al administrador de tareas ni al editor del registro. Así se asegura de que no puedas defenderte del ataque. Además, ejecuta un archivo por lotes (new.bat) para eliminar todas las instantáneas de volumen de tus archivos, que ya no se podrán reparar automáticamente. Según la nota de secuestro, para recibir las instrucciones de pago, tienes que enviar un email a una de las direcciones siguientes: file987@sigaint.org, file9876@openmail.cc o file987@tutanota.com.

Aunque la nota de los secuestradores afirma que los archivos se han cifrado con el sistema RSA-2048, en realidad, solamente tu código personal se ha cifrado con este método. Es el código que tienes que enviar en el email. Cuentas con un plazo de 72 horas para transferirles el dinero a los chantajistas. De lo contrario, la tasa del rescate aumentará. También te advierten que no toques los archivos ni intentes remediar el ataque. De lo contrario, es posible que provoques una “pérdida irreparable de información”. En cualquier caso, lo cierto es que no hay ninguna garantía de que vayas a recibir la clave y el decodificador prometidos, nunca la hay… Ahora es cuando uno se alegra indescriptiblemente de haber guardado copias de seguridad. Si tienes copias de tus archivos privados en una unidad de almacenamiento externo o en un pincho USB, puedes volver a copiarlos en tu ordenador siempre que quieras. Sin embargo, deberías asegurarte de que el equipo sea completamente seguro. Por eso, te recomendamos eliminar CryptoJoker Ransomware lo antes posible y, una vez hecho esto, copiar los datos.

Si no tienes ninguna copia de seguridad, sentimos tener que decirte que, hasta la fecha, no existen herramientas que puedan servirte para descifrar los archivos. Es posible que, en un futuro, cuando este ransomware haya secuestrado muchos más ordenadores, los expertos consigan encontrar alguna manera de descifrar los ficheros. Quizá entonces se pueda encontrar en la red alguna herramienta gratuita para hacerlo. No obstante, hasta que llegue ese momento, no hay mucho que puedas hacer, aparte de depurar el equipo para erradicar tan peligroso invasor.

La única forma de neutralizar CryptoJoker Ransomware es entrar en modo seguro con funciones de red después de reiniciar el ordenador. Después podrás borrar todos los archivos y entradas de registro que ha creado. Antes de hacerlo, comprueba que las carpetas ocultas estén visibles en el explorador de archivos. De lo contrario, te será imposible encontrar el directorio %Appdata%. En cambio, si te estás planteando pagar el rescate, no borres los documentos de texto del escritorio, porque contienen las instrucciones, tu código de cifrado único y las direcciones de correo electrónico a las que debes dirigirte. Cuando termines, reinicia el equipo. Sigue las instrucciones que te dejamos a continuación con mucho cuidado, ya que, si borras la clave de registro equivocada, será peor el remedio que la enfermedad. De hecho, en general, solo les recomendamos la eliminación manual a los usuarios de PC con más experiencia y que sean conscientes de lo que hay en juego. Para una eliminación más segura y eficiente, nuestro consejo es que uses una herramienta profesional para la eliminación de malware.

Cómo reiniciar en el modo seguro con funciones de red

Windows 8, Windows 8.1 y Windows 10

  1. Pulsa Win+I y haz clic en el icono de inicio/apagado.
  2. A la vez que mantienes pulsada la tecla mayús., pulsa reiniciar.
  3. Selecciona el solucionador de problemas y, a continuación, las opciones avanzadas.
  4. Entra en la configuración de inicio.
  5. Pincha en reiniciar.
  6. Pulsa F5 para iniciar el PC en el modo seguro con funciones de red.

Windows XP, Windows Vista y Windows 7

  1. Reinicia el PC y pulsa la tecla F8.
  2. En el menú, selecciona el modo seguro con funciones de red y dale a intro.

Mostrar elementos ocultos en el explorador de archivos de Windows

Windows 8, Windows 8.1, Windows 10

  1. Pulsa Win+E.
  2. Selecciona el menú "ver" y marca la casilla de los elementos ocultos.

Windows Vista y Windows 7

  1. Pulsa Win+E.
  2. Pulsa el botón de organizar y selecciona "opciones de carpeta y de búsqueda" en el menú.
  3. Entra en la pestaña "ver".
  4. Marca "mostrar todos los archivos y carpetas ocultos".
  5. Dale a aceptar.

Windows XP

  1. Pulsa Win+E y entra en el menú de herramientas.
  2. Entra en las opciones de carpeta.
  3. Entra en la pestaña "ver".
  4. Marca "mostrar todos los archivos y carpetas ocultos".
  5. Dale a aceptar.

Cómo eliminar CryptoJoker Ransomware

  1. Pulsa Win+E y busca el directorio C:\Users\user\AppData\Local\Temp.
  2. Busca y borra los siguientes ficheros: drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt y new.bat.
  3. Localiza el directorio C:\Users\user\AppData\Roaming.
  4. Busca y borra los siguientes ficheros: baefefbed.exe y README!!!.txt22.
  5. Pulsa Win+R y teclea "regedit". Dale a aceptar.
  6. Busca y borra las siguientes entradas del registro:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
    \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
    \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
  7. Busca y borra la siguiente entrada del registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.”
  8. Reinicia el sistema operativo.
Descargar el escaner para CryptoJoker Ransomware infecciones
  • Rápida y comprobada solución para la eliminación de CryptoJoker Ransomware amenazas.
  • ¡Guárdelo en su escritorio y ejecútelo ahora!
disclaimer
Disclaimer

Envíe un comentario — ¡NECESITAMOS SU OPINIÓN!

Comentario:
Nombre:
Por favor entrar el código de seguridad:
This is a captcha-picture. It is used to prevent mass-access by robots.