HydraCrypt Ransomware

HydraCrypt Ransomware es un invasor peligroso, creado con un único cometido: “recaudar” dinero de los internautas. Los estafadores que operan en la red son perfectamente conscientes de que la «ciberextorsión» no es una tarea fácil y han desarrollado un sistema relativamente efectivo: cifrar los archivos que contiene el ordenador que cae presa de su ataque y exigirle al usuario el pago de un rescate a cambio de descifrarlos. HydraCrypt Ransomware no es una amenaza aislada. Su análisis ha demostrado muchas similitudes con el modus operandi de 7ev3n Ransomware, NanoLocker Ransomware y JS.Crypto Ransomware. Al igual que estos atacantes previos, HydraCrypt Ransomware es imposible de eliminar desde el panel de control. Eliminar todo rastro de este secuestrador es una tarea pendiente para cualquiera que sufra el ataque, sobre todo, si no piensas pagar el dinero del rescate y puedes restablecer los archivos desde alguna copia de seguridad guardada, por ejemplo, en una unidad USB o un disco duro externo.

Los analistas de pcthreat.com han examinado detenidamente este invasor de tipo ransomware y han descubierto que, cuando consigue penetrar el equipo, crea inmediatamente una copia de sí mismo en uno de estos directorios: %APPDATA%, %LOCALAPPDATA% o %TEMP%. No cabe duda de que lo hace primordialmente por un motivo: HydraCrypt Ransomware pretende asegurarse así de que el usuario no pueda deshacerse de él tan fácilmente. De hecho, también trata de ocultar su presencia, debido a que le lleva entre diez y veinte minutos terminar de cifrar todos los archivos existentes en el PC. Los especialistas afirman que HydraCrypt Ransomware añade además dos valores al registro de Windows, uno de lo cuales puede ser ChromeSettingsStart3264 (con la siguiente información del valor: C:\Users\user\AppData\Roaming\ChromeSetings3264\rovaxowy.exe). Se ubican en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Sin duda, crea estos valores en la clave del registro para EJECUTAR con el fin de reaparecer si el equipo se reinicia y arrancar siempre con Windows.

Una vez completada la misión inicial (cifrar archivos con extensiones como .bin, .mp4, .ppt, .pptx, .txt, .wma, .wmv, .jpg, .html, .docx y .dat), el secuestrador despliega en pantalla un mensaje, el cual avisa sobre el cifrado que se ha llevado a cabo y comunica los pasos a seguir:

Encryption was made with a special crypto-code!

There NO CHANCE to decrypt it without our special software and your unique private key!

To buy your software You need to contact us by EMAIL

En el mensaje encontrarás también dos direcciones de correo: XHELPER@DR.COM y AHELPER@DR.COM. Te indican que debes ponerte en contacto con los hackers mediante alguno de estos emails para recibir más instrucciones. Solo cuentas con 72 horas para hacerlo. Si se agota el plazo y no te has puesto en contacto con los culpables del ataque, te amenazan con destruir todos los archivos o, incluso, venderlos en el mercado negro. Si les envías un email a los responsables del secuestro, suponemos que responderán indicando la suma exacta que tienes que transferirles. Lo más probable es que te pidan hacer un ingreso en bitcóins. Solo tú puedes decidir si pagas o no; por nuestra parte, si tienes oportunidad, te aconsejamos recuperar los archivos desde alguna copia externa, puesto que no se sabe si los hackers cumplirán su palabra y podrás descifrarlos después de efectuar el pago.

Se ha observado que las víctimas habían descargado el archivo principal de HydraCrypt Ransomware tras abrir un mensaje basura (también conocidos como «spam»), hacer clic en un enlace que no era seguro, o bajarse software desde páginas web no oficiales. Por si fuera poco, también existe la amenaza de que el secuestrador se cuele en los ordenadores con ayuda de otro malware, presente anteriormente en el equipo. Por consiguiente, lo ideal sería estar pendientes de que el equipo sea siempre un lugar seguro. En principio, no tiene por qué pasar nada si el usuario no hace doble clic en el archivo principal de HydraCrypt Ransomware, incluso aunque lo haya descargado en su PC. Lo malo es que la mayoría de la gente lo hace y, de esta forma, el equipo se infecta y comienza el proceso de cifrado. Si no estás seguro/a de poder defender tu equipo informático de los ataques, deberías instalar una herramienta de protección para PC. Así tendrás la tranquilidad de saber que en el futuro ya no volverá a colarse malware en el ordenador.

A diferencia de otros invasores de tipo ransomware que acechan en la red, HydraCrypt Ransomware no bloquea los archivos ejecutables (extensión .exe), ni tampoco las utilidades del sistema. Incluso siendo así, eliminar este secuestrador sigue sin ser una tarea sencilla. Por eso, hemos elaborado una guía con instrucciones para eliminarlo de forma manual. La encontrarás al final de este artículo. Si seguir estas instrucciones no te funciona, también puedes descargar e instalar un eliminador automático de malware, como SpyHunter, y utilizarlo para rastrear el equipo. Y recuerda que los archivos seguirán estando cifrados, por mucho que elimines HydraCrypt Ransomware, lo cual no es motivo para no erradicarlo lo antes posible.

Cómo eliminar HydraCrypt Ransomware

Mostrar archivos y carpetas ocultos

Windows XP

1. Haz clic en el botón de inicio.
2. Selecciona el panel de control y entra en la sección de apariencia y temas.
3. Accede a las opciones de carpeta.
4. Abre la pestaña titulada "ver".
5. Debajo de donde pone "archivos y carpetas ocultos", marca "mostrar archivos y carpetas ocultos".
6. Dale a aceptar.

Windows 7/Vista

1. Haz clic en el botón de inicio.
2. Selecciona el panel de control.
3. Abre la sección de apariencia y personalización.
4. Selecciona las opciones de carpeta.
5. Abre la pestaña titulada "ver".
6. Marca "mostrar archivos y carpetas ocultos", que está debajo de "archivos y carpetas ocultos".
7. Dale a aceptar.

Windows 8/8.1/10

1. Abre el explorador de Windows.
2. Haz clic en la pestaña "vista" que verás arriba.
3. Entra en las opciones.
4. Ahora abre la pestaña "ver".
5. Marca la opción "mostrar archivos, carpetas y unidades ocultos".
6. Dale a aceptar.

Eliminar ransomware

1. Abre EJECUTAR (tecla Windows+R).
2. Escribe "regedit" y pulsa aceptar.
3. Sigue la ruta hasta HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
4. Localiza el valor ChromeSetingsStart3264 (podría tener un nombre distinto).
5. Haz clic con el botón derecho y elimínalo.
6. Cierra el editor del registro.
7. Abre el explorador de Windows.
8. Ve a %APPDATA%, %LOCALAPPDATA% y %TEMP% (copia y pega el directorio en la barra de direcciones y pulsa intro) y busca un archivo que lleve por nombre una serie de letras al azar.
9. Haz clic con el botón derecho en el archivo y selecciona la opción de eliminar.
10. Borra dos imágenes que llevan el símbolo de HydraCrypt Ransomware y todos los demás archivos que haya en el escritorio y pertenezcan a esta amenaza.
11. Vacía la papelera de reciclaje.
12. Reinicia el ordenador.

Adicionalmente, te recomendamos analizar el equipo con un eliminador automático de malware para comprobar si el ataque de ransomware se ha erradicado completamente o no.