Con VirLocker hay una manera para que las víctimas se recuperan los archivos mediante la introducción de un código especial en el campo de pago.
VirLocker, también conocido como VirLock o VirRansom, es una familia ransomware que fue descubierto por bleepingcomputer en 2014 .
El ransomware nunca paso de sus primeras versiones y mantuvo un perfil bajo, no estar nunca en el corazón de las campañas masivas de spam como los que empujaron TorrentLocker, cryptolocker, TeslaCrypt, y más recientemente Cerber y Locky.
VirLocker se puede quitar con un código
Durante mucho tiempo usuario del foro de bleepingcomputer y el investigador de seguridad Malwarebytes Nathan Scott, anuncia que esta versión reciente puede ser derrotado, incluso sin un descifrador especial.
El truco, Scott dice, es entrar 64 ceros en la nota de rescate VirLocker, en la sección "Identificación de transferencia". 0000000000000000000000000000000000000000000000000000000000000000
Este código se utiliza para engañar al ransomware en el pensamiento de que el usuario ha pagado el rescate. Pero el trabajo del usuario aún no ha terminado, y es en realidad sólo ha comenzando.
VirLocker cifra y los paquetes de todos los archivos dentro de archivos ejecutables
El proceso de infección VirLocker funciona tomando los archivos de la víctima y envolviéndolos dentro de una cáscara EXE. Esto significa que todos los archivos están encriptados y luego empaquetaros como un ejecutable.
Por ejemplo, un archivo de imagen llamado foto.png se convertirá en foto.png.exe. Como la mayoría de las instalaciones de Windows ocultan la última extensión de archivo, los usuarios sólo verán photo.png, y no saben si el archivo es un archivo binario.
Pero se pone aún peor, ya que cada uno de estos archivos EXE también contiene una copia del ransomware VirLocker, lo que significa que algunos usuarios podrían estar transmitiendo archivos maliciosos a sus amigos, o hacer copias de seguridad una copia de VirLocker sin ni siquiera saberlo. El hecho de que VirLocker crea archivos EXE reales, y no sólo añade una extensión .exe falso, hace VirLocker extremadamente peligroso, lo que permite que se extienda con facilidad.
Desencriptar todos sus archivos llevara un tiempo
Scott dice que las víctimas que entraron en el código de 64 ceros deben iniciar de inmediato la apertura de todos sus archivos importantes, los que ellos quieren guardar.
Se dice que los usuarios deben hacer doble clic en el archivo EXE correspondiente a los archivos importantes. El archivo EXE (y la variante VirLocker incrustado) verán que el ransomware se ha pagado, y que va a extraer y descifrar el archivo original desde el interior del archivo EXE, creando una copia en el disco.
Por ejemplo, foto.png.exe haciendo doble clic creará un segundo archivo llamado photo.png, que es el archivo original. Tenga en cuenta que el archivo EXE contaminado permanecerá en el disco, junto al original.
No hay ningún proceso de descifrado automatizado, y las víctimas tienen que ir a través de su unidad de disco duro y extraer los archivos manualmente.
Una vez que haya terminado esta operación, Scott recomienda que las víctimas muevan todos sus archivos originales en una unidad de copia de seguridad, prestando especial atención a no copiar cualquiera de las versiones ejecutables que incluyen el ransomware VirLocker vivo. Copiando uno de los archivos EXE deshonestos bloqueado sería ya sea propagar la infección VirLocker a nuevos huéspedes, o volver a infectar el PC más adelante.
Después de realizar copias de seguridad de sus datos, los usuarios deben limpiar su computadora limpia y volver a instalar su sistema operativo, ya que hay una alta probabilidad de que alguien los pudiera infectarse de un archivo pícaro en el disco.
