Crypt0l0cker y Spora  : ¿Qué son?

​

¿Puedo recuperar mis archivos?

Crypt0l0cker y Spora son evoluciones del ransomware Cryptolocker, solo que con funciones más avanzadas.

 

Ambos se distribuyen a través de correos electrónicos no deseados (con archivos adjuntos maliciosos).

Cada correo electrónico contiene un archivo HTA que, cuando se ejecuta, extrae un archivo JavaScript ("closed.js") y lo coloca en el sistema en la carpeta "% temp%". El archivo Javascript extrae un ejecutable con un nombre aleatorio y lo ejecuta. Luego, el ejecutable comienza a cifrar archivos mediante el cifrado RSA. Tenga en cuenta que, a diferencia de otros virus ransomware, Spora no cambia el nombre de los archivos cifrados. El archivo HTA anterior también extrae un archivo DOCX.

 

Este archivo está dañado y, por lo tanto, obtendrá un error cuando lo abra. Esto se crea para engañar a las víctimas haciéndoles creer que la descarga de los archivos adjuntos de correo electrónico ha fallado.

 

Después del cifrado, Spora genera .html y archivos .KEY (ambos nombrados con caracteres aleatorios), colocándolos en todas las carpetas que contienen archivos cifrados.

​

En cambio, Crypt0l0cker agrega 4 o 6 letras aleatorias al final de cada archivo.

​

Una de las principales características de Crypt0l0cker y Spora es la capacidad de trabajar sin conexión (sin conexión a Internet).

 

 

 

 

 

 

 

 

 

 

 

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

​

 

Como se mencionó anteriormente, los archivos se cifran mediante RSA (un algoritmo de cifrado asimétrico) y, por lo tanto, se genera una clave pública (cifrado) y privada (descifrado) durante el proceso de cifrado. El descifrado sin la clave privada es imposible. Además, la clave privada también se cifra mediante el cifrado AES, lo que empeora aún más la situación. Al igual que con el cifrado de archivos, Spora desactiva la reparación de inicio de Windows, elimina las instantáneas de volumen y cambia BootStatusPolicy.

 

​​

El usuario podría encontrar en la PC un archivo, datacipher.txt o README.txt en el caso de Spora, o HOW_RESTORE_I_FILE.txt y  HOW_RESTORE_I_FILE en el caso de .html Crypt0l0 Ccker chery contiene un mensaje que dirige a una página web para comprar la clave y luego descargar un descifrador.

 

​

​​

​

​

​

​

​

​

​

​

​

​

​​

​

​

​

​

​

¿Cómo descifrar archivos cifrados por Crypt0l0cker / Spora? 

¿Pueden recuperar mis datos?

​

¡Sí, podemos recuperar todos sus archivos! 

​

Escríbanos un correo electrónico ainfo@eliminacryptolocker.com adjuntar archivos cifrados y su número de teléfono móvil;

 

¡Te responderemos lo más pronto posible!

​

​