Esta es la cuestión: El malware en los últimos años se ha convertido tanto en sneakier como en nastier:

Sneakier , no sólo porque es mejor para esconderse con rootkits o hackeos de EEPROM, sino también porque viaja en paquetes. El malware sutil puede esconderse detrás de infecciones más obvias. Hay muchas buenas herramientas listadas en las respuestas aquí que pueden encontrar el 99% del malware, pero siempre hay ese 1% que no pueden encontrar todavía. La mayoría de ese 1% son cosas que son nuevas: las herramientas de malware no pueden encontrarlas porque acaban de salir y están usando algún nuevo exploit o técnica para esconderse que las herramientas no conocen todavía.

El malware también tiene una vida útil corta. Si estás infectado, es muy probable que algo de ese nuevo 1% sea una parte de tu infección. No será la infección completa: sólo una parte de ella. Las herramientas de seguridad te ayudarán a encontrar y eliminar el malware más obvio y conocido, y muy probablemente eliminarán todos los síntomas visibles (porque puedes seguir investigando hasta que llegues a ese punto), pero pueden dejar pequeños trozos detrás, como un registrador de teclas o un rootkit que se esconde detrás de algún nuevo exploit que la herramienta de seguridad aún no sabe cómo comprobar. Las herramientas antimalware todavía tienen su lugar, pero llegaré a eso más tarde.

Nastier , en el sentido de que no sólo mostrará anuncios, instalará una barra de herramientas, o usará su computadora como un zombie más. El malware moderno es probable que vaya directo a la información bancaria o de la tarjeta de crédito. La gente que construye estas cosas ya no son solo script kiddies buscando fama; ahora son profesionales organizados motivados por el lucro, y si no pueden robarte directamente, buscarán algo que puedan vender. Esto puede ser el procesamiento o los recursos de red de tu ordenador, pero también puede ser tu número de la seguridad social o la encriptación de tus archivos y el rescate de los mismos.

Junta estos dos factores, y _ ya no vale la pena ni siquiera intentar eliminar el malware de un sistema operativo instalado . Solía ser muy bueno eliminando estas cosas, hasta el punto de que me ganaba la vida de esa manera, y ya ni siquiera lo intento. No digo que no se pueda hacer, pero sí que los resultados de los análisis de costo/beneficio y de riesgo han cambiado: ya no vale la pena. Hay demasiado en juego, y es demasiado fácil obtener resultados que sólo _parecen ser efectivos.

Mucha gente estará en desacuerdo conmigo en esto, pero desafío que no están sopesando las consecuencias del fracaso con suficiente fuerza. ¿Estás dispuesto a apostar los ahorros de tu vida, tu buen crédito, incluso tu identidad, a que eres mejor en esto que los ladrones que ganan millones haciéndolo cada día? Si intentas eliminar el malware y luego sigues ejecutando el viejo sistema, eso es exactamente lo que estás haciendo.

Sé que hay gente ahí fuera leyendo esto pensando, “Hey, he eliminado varias infecciones de varias máquinas y nunca ha pasado nada malo”. Yo también, amigo. Yo también, amigo. En días pasados he limpiado mi parte de sistemas infectados. Sin embargo, sugiero que ahora necesitamos añadir “todavía” al final de esa declaración. Puede que sea un 99% efectivo, pero sólo tiene que equivocarse una vez, y las consecuencias de un fallo son mucho más altas de lo que fueron una vez; el coste de un solo fallo puede fácilmente superar todos los otros éxitos. Incluso puede que ya tengas una máquina ahí fuera que todavía tiene una bomba de tiempo dentro, esperando a ser activada o a recoger la información correcta antes de informar sobre ella. Incluso si tienes un proceso 100% efectivo ahora, esta cosa cambia todo el tiempo. Recuerda: tienes que ser perfecto cada vez; los malos sólo tienen que tener suerte una vez.

En resumen, es desafortunado, pero si tienes una infección de malware confirmada, una repavimentación completa del ordenador debería ser el primer lugar al que te vuelves en vez del último.

• *

Así es como se logra:

Antes de infectarse, asegúrese de tener una forma de reinstalar cualquier software comprado, incluyendo el sistema operativo, que no dependa de nada almacenado en su disco duro interno. Para ello, eso normalmente sólo significa colgar los cd/dvds o las claves de producto, pero el sistema operativo puede requerir que cree discos de recuperación por sí mismo.1 No confíe en una partición de recuperación para esto. Si espera hasta después de una infección para asegurarse de que tiene lo que necesita para reinstalar, puede que se encuentre pagando por el mismo software de nuevo. Con el aumento de los rescates, también es muy importante hacer copias de seguridad regulares de sus datos (además de, ya sabe, cosas regulares no maliciosas como fallos en el disco duro).

Cuando sospeche que tiene malware, busque otras respuestas aquí. Se sugieren muchas buenas herramientas. Mi único problema es la mejor manera de usarlas: Sólo confío en ellas para la detección. Instale y ejecute la herramienta, pero tan pronto como encuentre evidencia de una infección real (más que sólo “cookies de rastreo”) sólo detenga el escaneo: la herramienta ha hecho su trabajo y ha confirmado su infección.2

En el momento de una infección confirmada, tomar los siguientes pasos:

1. Revise su crédito y sus cuentas bancarias. Para cuando se entere de la infección, el daño real puede estar ya hecho. Tome los pasos necesarios para asegurar sus tarjetas, cuenta bancaria e identidad.
2. Cambie las contraseñas de cualquier sitio web al que haya accedido desde el ordenador comprometido. No use el ordenador comprometido para hacer nada de esto. Haga una copia de seguridad de sus datos (mejor aún si ya tiene una).
3. 4. Reinstale el sistema operativo usando los medios originales obtenidos directamente del editor del sistema operativo. Asegúrese de que la reinstalación incluye un completo re-formateo de su disco; una operación de restauración del sistema o de recuperación del sistema no es suficiente.
4. Reinstale sus aplicaciones.
5. Haga una copia de seguridad de sus datos. Asegúrese de que su sistema operativo y su software estén completamente parcheados y actualizados.
6. Ejecute un análisis antivirus completo para limpiar la copia de seguridad desde el paso tres.
7. Restaure la copia de seguridad.

Si se hace correctamente, es probable que esto lleve entre dos y seis horas reales de su tiempo, repartidas en dos o tres días (o incluso más) mientras espera que se instalen cosas como aplicaciones, se descarguen actualizaciones de Windows o se transfieran archivos de copia de seguridad de gran tamaño… pero es mejor que descubrir más tarde que los ladrones vaciaron su cuenta bancaria. Desafortunadamente, esto es algo que deberías hacer tú mismo, o hacer que un amigo técnico lo haga por ti. A una tasa de consulta típica de alrededor de 100 dólares por hora, puede ser más barato comprar una nueva máquina que pagar a una tienda para hacer esto. Si tienes un amigo que lo haga por ti, haz algo agradable para mostrar tu aprecio. Incluso los geeks a los que les encanta ayudarte a montar cosas nuevas o arreglar hardware roto a menudo _odian el tedio del trabajo de limpieza. También es mejor que te lleves tu propia copia de seguridad… tus amigos no van a saber dónde pones qué archivos, o cuáles son realmente importantes para ti. Estás en mejor posición para hacer una buena copia de seguridad que ellos.

Pronto incluso todo esto puede no ser suficiente, ya que ahora hay malware capaz de infectar el firmware. Incluso reemplazar el disco duro puede no eliminar la infección, y comprar una nueva computadora será la única opción. Afortunadamente, en el momento en que escribo esto todavía no estamos en ese punto, pero definitivamente está en el horizonte y se acerca rápidamente.

Si insistes absolutamente, más allá de toda razón, en que realmente quieres limpiar tu instalación existente en lugar de empezar de nuevo, entonces por el amor de Dios asegúrate de que cualquier método que utilices implica uno de los dos siguientes procedimientos:

• Quita el disco duro y conéctalo como disco invitado en un ordenador diferente (¡limpio!) para ejecutar el escaneo.

OR

• Arranca desde una llave de CD/USB con su propio conjunto de herramientas ejecutando su propio núcleo. Asegúrate de que la imagen para esto se obtiene y se graba en un ordenador limpio. Si es necesario, pídale a un amigo que haga el disco por usted.

Bajo ninguna circunstancia debe tratar de limpiar un sistema operativo infectado usando un software que se ejecuta como proceso invitado del sistema operativo comprometido. Eso es una tontería.

• *

Por supuesto, la mejor manera de arreglar una infección es evitarla en primer lugar, y hay algunas cosas que puede hacer para ayudar con eso:

1. Mantenga su sistema parcheado. Asegúrate de instalar inmediatamente las actualizaciones de Windows, las actualizaciones de Adobe, las actualizaciones de Java, las actualizaciones de Apple, etc. Esto es mucho más importante incluso que el software antivirus, y en su mayor parte no es tan difícil, siempre y cuando se mantenga actualizado. La mayoría de esas compañías se han establecido informalmente en todas las publicaciones de nuevos parches en el mismo día cada mes, así que si te mantienes al día no te interrumpe tan a menudo. Las interrupciones de Windows Update normalmente sólo ocurren cuando las ignoras durante demasiado tiempo. Si esto le sucede con frecuencia, está en sus manos cambiar su comportamiento. Estos son importantes, y no está bien elegir continuamente la opción “instalar más tarde”, aunque sea más fácil en el momento.
2. No se ejecuta como administrador por defecto. En las versiones recientes de Windows, es tan simple como dejar activada la función UAC.
3. Use una buena herramienta de firewall. Hoy en día el firewall por defecto de Windows es realmente bueno. Puede que quieras complementar esta capa con algo como WinPatrol, que ayuda a detener la actividad maliciosa en el front end. Windows Defender trabaja en esta capacidad hasta cierto punto también. Los complementos básicos del navegador Ad-Blocker también se están volviendo cada vez más útiles en este nivel como herramienta de seguridad.
4. 4. Configure la mayoría de los plug-ins de los navegadores (especialmente Flash y Java) a “Ask to Activate”.

5. Ejecute el software antivirus corriente. Esta es una lejana quinta parte de las otras opciones, ya que el software de A/V tradicional a menudo ya no es tan efectivo. También es importante enfatizar la “corriente”. Podrías tener el mejor software antivirus del mundo, pero si no está actualizado, podrías desinstalarlo.

6. Evite los sitios de torrentes, warez, software pirata y películas/vídeos piratas. Estas cosas suelen ser inyectados con malware por la persona que los descifró o publicó, no siempre, pero a menudo lo suficiente para evitar todo el lío. Es parte de la razón por la que un cracker haría esto: a menudo obtendrá una parte de cualquier beneficio.

7. Usa tu cabeza cuando navegues por la web. Eres el eslabón más débil de la cadena de seguridad. Si algo suena demasiado bueno para ser verdad, probablemente lo sea. El botón de descarga más obvio es raramente el que quieres usar más cuando descargas nuevo software, así que asegúrate de leer y entender todo lo que hay en la página web antes de hacer clic en ese enlace. Si ve una ventana emergente o escucha un mensaje audible que le pide que llame a Microsoft o que instale alguna herramienta de seguridad, es falso. Además, prefiera descargar el software y las actualizaciones/actualizaciones directamente del vendedor o del desarrollador en lugar de los sitios web de alojamiento de archivos de terceros.

1 Microsoft publica ahora los medios de instalación de Windows 10 para que pueda descargar y escribir legalmente en una unidad flash de 8 GB o más grande de forma gratuita. Todavía necesitas una licencia válida, pero ya no necesitas un disco de recuperación separado para el sistema operativo básico.

2 Este es un buen momento para señalar que he suavizado un poco mi enfoque. Hoy en día, la mayoría de las “infecciones” caen dentro de la categoría de PUP (Programas Potencialmente No Deseados) y de las extensiones del navegador incluidas en otras descargas. A menudo, estas PUP/extensiones pueden eliminarse con seguridad a través de medios tradicionales, y ahora son un porcentaje lo suficientemente grande de malware como para que yo pueda detenerme en este punto y simplemente probar la función Agregar/Quitar Programas o la opción normal del navegador para eliminar una extensión. Sin embargo, a la primera señal de algo más profundo - cualquier indicio de que el software no se desinstalará normalmente - y se vuelve a repavimentar la máquina.

¿Cómo puedo saber si mi PC está infectado?

Los síntomas generales del malware pueden ser cualquier cosa. Los habituales son:

• La máquina es más lenta de lo normal.
• Fallos aleatorios y cosas que suceden cuando no deberían (por ejemplo, algunos virus nuevos ponen restricciones de política de grupo en la máquina para evitar que se ejecute el gestor de tareas u otros programas de diagnóstico).
• El gestor de tareas muestra una CPU alta cuando cree que su máquina debería estar inactiva (por ejemplo, <5%).
• Avisos que aparecen al azar.
• Avisos de virus que aparecen de un antivirus que no recuerda haber instalado (el programa antivirus es falso e intenta afirmar que tiene virus de sonido aterrador con nombres como ‘bankpasswordstealer.vir’. Se recomienda pagar por este programa para limpiarlos).
• Ventanas emergentes/ falsa pantalla azul de la muerte (BSOD) que le piden que llame a un número para arreglar la infección.
• Páginas de Internet redirigidas o bloqueadas, por ejemplo, páginas de inicio de productos AV o sitios de soporte (www.symantec. com, www.avg.com, www.microsoft.com) son redirigidas a sitios llenos de anuncios, o sitios falsos que promueven herramientas falsas de eliminación de virus / “útiles”, o son bloqueadas por completo.
• Aumento del tiempo de inicio, cuando no se ha instalado ninguna aplicación (o parches)… Esto es incómodo.
• Sus archivos personales están encriptados y usted ve una nota de rescate.
• Cualquier cosa que salga de la nada, si usted “conoce” su sistema, normalmente sabe cuando algo está muy mal.

¿Cómo me deshago de esto?

Usando un Live CD

Como el escáner de virus del PC infectado puede estar comprometido, probablemente sea más seguro escanear la unidad desde un Live CD. El CD arrancará un sistema operativo especializado en su ordenador, que luego escaneará el disco duro.

Hay, por ejemplo, Avira Antivir Rescue System o ubcd4win . Puede encontrar más sugerencias en Lista de descarga de CDs de rescate antivirus de arranque GRATUITO como:

• Kaspersky Rescue CD
• BitDefender Rescue CD
• F-Secure Rescue CD
• Avira Antivir Rescue Disk
• Trinity Rescue Kit CD
• AVG Rescue CD

Conexión del disco duro a otro PC

Si está conectando el disco duro infectado a un sistema limpio para analizarlo, asegúrese de actualizar las definiciones de virus de todos los productos que va a utilizar para escanear la unidad infectada. Esperar una semana para que los proveedores de antivirus publiquen nuevas definiciones de virus puede mejorar las posibilidades de detectar todos los virus.

Asegúrese de que el sistema infectado permanece desconectado de Internet tan pronto como descubra que está infectado. Esto evitará que pueda descargar nuevas ediciones de virus (entre otras cosas).

Empieza con una buena herramienta como Spybot Search and Destroy o Malwarebytes’ Anti-Malware y realiza un análisis completo. También pruebe ComboFix , y SuperAntiSpyware . Ningún producto antivirus tendrá todas las definiciones de virus. Usar varios productos es clave ( no para la protección en tiempo real ). Si aunque sea un solo virus permanece en el sistema, puede ser capaz de descargar e instalar todas las últimas ediciones de nuevos virus y todo el esfuerzo hasta ahora habría sido en vano.

Eliminar programas sospechosos del arranque

1. Arrancar en modo seguro.
2. Use msconfig para determinar qué programas y servicios se inician en el arranque (o en el inicio en el administrador de tareas de Windows 8). Si hay programas/servicios sospechosos, elimínelos del arranque. De lo contrario, pase a usar un CD activo.
3. Reiniciar.
4. Si los síntomas no desaparecen y/o el programa se reemplaza a sí mismo en el arranque, intente usar un programa llamado Autoruns para encontrar el programa, y elimínelo de allí. Si el ordenador no puede iniciarse, Autoruns tiene una función que permite ejecutarlo desde un segundo PC llamado “Analizar PC sin conexión”. Presta especial atención a las pestañas Logon y Scheduled tasks.
5. Si aún no se logra eliminar el programa, y estás seguro de que es la causa de tus problemas, arranca en modo normal e instala una herramienta llamada Unlocker
6. Navega hasta la ubicación del archivo que es ese virus, e intenta usar el desbloqueador para matarlo. Pueden ocurrir algunas cosas:
7. El archivo se borra, y no reaparece al reiniciar. Este es el mejor caso.
8. El archivo es eliminado, pero reaparece inmediatamente. En este caso, use un programa llamado Monitor de Procesos para encontrar el programa que recreó el archivo. Necesitará borrar ese programa también.
9. El archivo no puede ser borrado, el desbloqueador le pedirá que lo borre al reiniciar. Hazlo, y mira si reaparece. Si lo hace, debe tener un programa en el arranque que cause que eso suceda, y vuelva a examinar la lista de programas que se ejecutan en el arranque.

Qué hacer después de restaurar

Ahora debería ser seguro (con suerte) arrancar en su sistema (previamente) infectado. Aún así, mantenga los ojos abiertos a las señales de infección. Un virus puede dejar cambios en el equipo que facilitarían la reinfección incluso después de haber eliminado el virus.

Por ejemplo, si un virus cambiara la configuración del DNS o del proxy, el equipo lo redirigiría a versiones falsas de sitios web legítimos, de modo que la descarga de lo que parece ser un programa conocido y de confianza podría ser en realidad la descarga de un virus.

También podrían obtener sus contraseñas redirigiéndolo a sitios de cuentas bancarias falsas o a sitios de correo electrónico falsos. Asegúrate de comprobar tu DNS y la configuración del proxy. En la mayoría de los casos, su DNS debe ser proporcionado por su ISP o adquirido automáticamente por DHCP. La configuración del proxy debe estar desactivada.

Compruebe el archivo hosts (\%systemroot%\system32\drivers\etc\hosts) para ver si hay alguna entrada sospechosa y elimínela inmediatamente. Asegúrese también de que su cortafuegos esté activado y de que disponga de las últimas actualizaciones de Windows.

A continuación, proteja su sistema con un buen antivirus y suplemente con un producto anti-malware. A menudo se recomienda el uso de Microsoft Security Essentials junto con otros productos .

Qué hacer si todo falla

Hay que tener en cuenta que algunos malware son muy buenos para evitar los escáneres. Es posible que una vez infectado, pueda instalar rootkits o similar para permanecer invisible. Si las cosas están realmente mal, la única opción es limpiar el disco y reinstalar el sistema operativo desde cero. A veces un escaneo usando GMER o TDSS Killer de Kaspersky puede mostrarte si tienes un rootkit.

Puede que quieras hacer unas cuantas ejecuciones de Spybot Search and Destroy. Si después de tres ejecuciones no es capaz de eliminar una infestación (y no lo hace manualmente) considere una reinstalación.

Otra sugerencia: Combofix es una herramienta de eliminación muy poderosa cuando los rootkits impiden que otras cosas se ejecuten o instalen.

El uso de múltiples motores de escaneo puede ciertamente ayudar a encontrar los malwares mejor ocultos, pero es una tarea fastidiosa y una buena estrategia de respaldo/restauración será más eficiente y segura.

Bono: Hay una interesante serie de video que comienza con, Understanding and Fighting Malware: Viruses, Spyware" con Mark Russinovich, el creador de Sysinternals ProcessExplorer & Autoruns, sobre la limpieza de malware.

Hay algunos grandes consejos para combatir el malware en el libro de Jeff Atwood “How to Clean Up a Windows Spyware Infestation” . Aquí está el proceso básico (asegúrese de leer la entrada del blog para ver las capturas de pantalla y otros detalles que este resumen pasa por alto):

1. 1. Detenga cualquier software espía que esté ejecutándose actualmente. El Administrador de tareas integrado de Windows no lo cortará; obtenga Sysinternals Process Explorer .
2. Ejecute el Explorador de procesos.
3. 2. Ordene la lista de procesos por el nombre de la empresa. Elimine cualquier proceso que no tenga un nombre de compañía (excluyendo DPCs, interrupciones, sistema, y proceso ocioso del sistema), o que tenga nombres de compañía que no reconozca.
4. Evitar que el spyware se reinicie la próxima vez que se inicie el sistema. De nuevo, la herramienta integrada de Windows, MSconfig, es una solución parcial, pero Autoejecución de Sysinternals es la herramienta a utilizar.
5. Ejecutar AutoRuns.
6. 2. Revise la lista completa. Desmarque las entradas sospechosas… las que tengan nombres de editor en blanco o cualquier nombre de editor que no reconozca.
7. Ahora reinicie.
8. Después de reiniciar, vuelva a revisar con el Explorador de Procesos y Autoejecución. Si algo “regresa”, tendrás que cavar más profundo.
9. En el ejemplo de Jeff, algo que regresó fue una entrada sospechosa de un conductor en AutoRuns. Él habla a través de rastrear el proceso que lo cargó en el Explorador de Procesos, cerrando la manija, y borrando físicamente el driver sospechoso.
10. También encontró un archivo DLL de nombre extraño enganchado en el proceso de Winlogon, y demuestra encontrar y matar los hilos de proceso que cargan ese DLL para que los AutoRuns puedan finalmente eliminar las entradas.

Mi forma de eliminar el malware es efectiva y nunca he visto que falle:

1. Descargue Autoruns y si todavía funciona 32-bit descargue un escáner de rootkit.
2. Arranque en Modo Seguro e inicie Autoruns si puede, luego vaya al paso 5.
3. Si no puede entrar en Modo a prueba de fallos, conecte el disco a otra computadora.
4. Inicie el autoejecución en esa computadora, vaya a Archivo -> Analizar el sistema sin conexión y rellénelo.
5. Espere a que se haga el escaneo.
6. En el menú de Opciones, seleccione todo.
7. Deje que escanee de nuevo presionando F5. Esto irá rápido a medida que las cosas se almacenen en la memoria caché.
8. Revise la lista y desmarque todo lo que sea conspicuo o no tenga una compañía verificada.
9. Opcional: Ejecute el escáner de rootkits.
10. Deje que un escáner de virus superior elimine cualquier archivo que haya quedado.
11. Opcional: Ejecute los escáneres antimalware y anti-spyware para deshacerse de la basura.
12. Opcional: Ejecuta herramientas como HijackThis/OTL/ComboFix para deshacerse de la basura.
13. Reinicie y disfrute de su sistema limpio.
14. Opcional: Ejecuta el escáner de rootkit de nuevo.
15. Asegúrese de que su ordenador esté suficientemente protegido!

Algunas observaciones:

• Autoruns está escrito por Microsoft y por lo tanto muestra cualquier ubicación de las cosas que se inician automáticamente…
• Una vez que el software se desmarca de Autoruns, no se iniciará y no puede evitar que lo elimine. …
• No existen rootkits para sistemas operativos de 64 bits porque necesitarían ser firmados…

Es efectivo porque deshabilitará el inicio de malware/spyware/virus, eres libre de ejecutar herramientas opcionales para limpiar cualquier basura que haya quedado en tu sistema.

Siga el orden que se indica a continuación para desinfectar su PC

1. En un PC que no esté infectado, haga un disco AV de arranque y luego arranque desde el disco del PC infectado y analice el disco duro, elimine cualquier infección que encuentre. Prefiero el Windows Defender Offline boot CD/USB porque puede eliminar los virus del sector de arranque, ver “Nota” más abajo.

2. Después de haber analizado y eliminado el malware con el disco de arranque, Instale MBAM gratis, ejecute el programa y vaya a la pestaña Actualizar y actualícelo, luego vaya a la pestaña Analizar y haga un análisis rápido, seleccione y elimine todo lo que encuentre.

3. Cuando termine la MBAM instale SAS versión gratuita, ejecute un escaneo rápido, elimine lo que seleccione automáticamente.

4. Si los archivos de sistema de Windows estaban infectados puede que tenga que ejecutar SFC para reemplazar los archivos, puede que tenga que hacerlo sin conexión si no arranca debido a la eliminación de los archivos de sistema infectados. Le recomiendo que ejecute el SFC después de que se haya eliminado cualquier infección.

5. En algunos casos puede que tenga que ejecutar una reparación de inicio (sólo en Windows Vista y Windows7) para que arranque correctamente de nuevo. En casos extremos pueden ser necesarias 3 reparaciones de inicio seguidas.

La MBAM y el SAS no son programas AV como Norton, son escáneres a petición que sólo buscan problemas cuando se ejecuta el programa y no interfieren con el AV instalado, pueden ejecutarse una vez al día o a la semana para asegurarse de que no está infectado. Asegúrese de actualizarlos antes de cada análisis diario-semanal.

Nota: el producto Windows Defender Offline es muy bueno para eliminar infecciones persistentes de MBR que son comunes en estos días.

.

Para usuarios avanzados:

Si tiene una sola infección que se representa como software, es decir, “System Fix” “AV Security 2012” etc, vea esta página para las guías de eliminación específicas

.

Si notas alguno de los síntomas, una cosa que debes comprobar es la configuración del DNS en tu conexión de red.

Si estos han sido cambiados ya sea de “Obtener la dirección del servidor DNS automáticamente” o a un servidor diferente del que debería ser, entonces es una buena señal de que tienes una infección. Esto será la causa de las redirecciones fuera de los sitios antimalware, o de un fallo completo para llegar al sitio en absoluto.

Probablemente es una buena idea tomar nota de su configuración de DNS antes de que se produzca una infección para saber cuál debería ser. Además, los detalles estarán disponibles en las páginas de ayuda del sitio web de tu proveedor de servicios de Internet.

Si no tienes una nota de los servidores DNS y no puedes encontrar la información en el sitio de tu proveedor de servicios de Internet, entonces el uso de los servidores DNS de Google es una buena alternativa. Se pueden encontrar en 8.8.8.8 y 8.8.4.4 para los servidores primarios y secundarios respectivamente.

Aunque restablecer los DNS no solucionará el problema, te permitirá a) acceder a los sitios antimalware para obtener el software que necesitas para limpiar el equipo y b) detectar si la infección se repite ya que la configuración de los DNS volverá a cambiar.

Ransomware

Una nueva y particularmente horrible forma de malware es ransomware. Este tipo de programa, normalmente entregado con un troyano (por ejemplo, un archivo adjunto de un correo electrónico) o un exploit de un navegador, revisa los archivos de su ordenador, los encripta (haciéndolos completamente irreconocibles e inutilizables) y exige un rescate para devolverlos a un estado utilizable.

El Ransomware generalmente utiliza criptografía de clave asimétrica , que implica dos claves: la clave pública y la clave privada. Cuando usted es golpeado por un rescate, el programa malicioso que se ejecuta en su computadora se conecta al servidor de los malos (el comando y control, o C & C), que genera ambas claves. Sólo envía la clave pública al malware de tu ordenador, ya que es todo lo que necesita para cifrar los archivos. Por desgracia, los archivos sólo pueden descifrarse con la clave privada, que nunca llega a la memoria del ordenador si el software de rescate está bien escrito. Los malos suelen decir que le darán la clave privada (y así le permitirán descifrar los archivos) si paga, pero por supuesto tiene que confiar en ellos para hacerlo.

Lo que puede hacer

La mejor opción es reinstalar el sistema operativo (para eliminar todo rastro de malware) y restaurar sus archivos personales a partir de las copias de seguridad que hizo anteriormente. Si no tienes copias de seguridad ahora, esto será más difícil. Acostúmbrese a hacer copias de seguridad de los archivos importantes.

El pago probablemente le permitirá recuperar sus archivos, pero por favor no. Hacerlo apoya su modelo de negocio. Además, digo “probablemente le permitirá recuperar” porque sé de al menos dos cepas que están tan mal escritas que destrozan irreparablemente sus archivos; incluso el programa de desencriptación correspondiente no funciona realmente.

Alternativas

Afortunadamente, hay una tercera opción. Muchos desarrolladores de software de rescate han cometido errores que permiten a los buenos profesionales de la seguridad desarrollar procesos que deshacen el daño. El proceso para hacer eso depende totalmente de la carga de los programas de rescate, y esa lista cambia constantemente. Algunas personas maravillosas han reunido * una gran lista de variantes de software de rescate , incluyendo las extensiones aplicadas a los archivos bloqueados y el nombre de la nota de rescate, que puede ayudar a identificar qué versión tiene. Para bastantes cepas, esa lista también tiene un enlace a un desencriptador gratuito! Siga las instrucciones apropiadas (los enlaces están en la columna Decryptor) para recuperar sus archivos. **Antes de comenzar , use las otras respuestas a esta pregunta para asegurarse de que el programa de rescate sea removido de su computadora.

Si no puede identificar con qué fue golpeado sólo por las extensiones y el nombre de la nota de rescate, trate de buscar en Internet algunas frases distintivas de la nota de rescate. Los errores ortográficos o gramaticales suelen ser bastante singulares, y es probable que se encuentre con un hilo del foro que identifique el software de rescate.

Si su versión aún no se conoce, o no tiene una forma gratuita de descifrar los archivos, ¡no pierda la esperanza! Los investigadores de seguridad están trabajando para deshacer el software de rescate y las fuerzas del orden están persiguiendo a los desarrolladores. Es posible que finalmente aparezca un desencriptador. Si el rescate está limitado en el tiempo, es posible que sus archivos sean recuperables cuando se desarrolle la corrección. Incluso si no, por favor no pague a menos que sea absolutamente necesario. Mientras espera, asegúrese de que su ordenador está libre de malware, usando de nuevo las otras respuestas a esta pregunta. Considere la posibilidad de hacer una copia de seguridad de las versiones cifradas de sus archivos para mantenerlos a salvo hasta que salga la corrección.

Una vez que recupere todo lo posible (¡y haga copias de seguridad en medios externos!), considere seriamente la posibilidad de instalar el sistema operativo desde cero. Una vez más, esto eliminará cualquier malware que se haya alojado en lo más profundo del sistema.

Consejos adicionales específicos para cada variante

Algunos consejos específicos para cada variante que aún no están en la gran hoja de cálculo:

• Si la herramienta de descifrado para LeChiffre no funciona, puede recuperar todos los datos de cada archivo, excepto el primero y el último de 8KB, utilizando un editor hexadecimal. Salta a la dirección 0x2000 y copia todos los bytes menos los últimos 0x2000. Los archivos pequeños serán completamente destruidos, pero con algunos retoques podrías obtener algo útil de los más grandes.
• Si has sido golpeado con WannaCrypt y estás ejecutando Windows XP, no has reiniciado desde la infección, y tienes suerte, podrías ser capaz de extraer la clave privada con Wannakey .
• Bitdefender tiene varias herramientas gratuitas para ayudar a identificar la variante y desencriptar algunas variantes específicas.
• (otras se irán añadiendo a medida que se vayan descubriendo)

Conclusión

El Ransomware es desagradable, y la triste realidad es que no siempre es posible recuperarse de él. Para mantenerse a salvo en el futuro:

• Mantenga su sistema operativo, navegador web y antivirus actualizados
• No abra archivos adjuntos de correo electrónico que no esperaba, especialmente si no conoce al remitente
• Evite sitios web incompletos (es decir, aquellos con contenido ilegal o éticamente dudoso)
• Asegúrese de que su cuenta sólo tiene acceso a los documentos que usted personalmente necesita para trabajar con
• ¡Siempre tenga copias de seguridad de trabajo en medios externos (no conectados a su ordenador)!

Hay una gran variedad de malware. Algunos de ellos son triviales de encontrar y eliminar. Otros son más difíciles. Algunos son realmente difíciles de encontrar y muy difíciles de eliminar.

Pero incluso si tiene un malware leve, debería considerar seriamente reformar y reinstalar el sistema operativo. Esto se debe a que su seguridad ya ha fallado, y si ha fallado por un simple malware tal vez ya esté infectado con un malware malicioso.

Las personas que trabajan con datos sensibles o dentro de redes donde se guardan datos sensibles deberían considerar seriamente la posibilidad de borrar y reinstalar. Las personas cuyo tiempo es valioso deberían considerar seriamente borrar y reinstalar (es el método más rápido, fácil y seguro). Las personas que no se sienten cómodas con las herramientas avanzadas deberían considerar seriamente borrar y reinstalar.

Pero las personas que tienen tiempo, y disfrutan de los fideos, pueden probar los métodos que se enumeran en otras publicaciones.

Las posibles soluciones para una infección de virus están en orden: (1) escaneos de antivirus, (2) reparación del sistema, (3) reinstalación total.

Asegúrate primero de que todos tus datos estén respaldados.

Carga e instala algunos antivirus, asegúrate de que estén actualizados, y escanea profundamente tu disco duro. Recomiendo usar al menos Malwarebytes’ Anti-Malware . También me gusta Avast.

Si por alguna razón esto no funciona, puede utilizar un escáner de virus de rescate en CD: me gusta más Avira AntiVir Rescue System porque se actualiza varias veces al día y así el CD de descarga está actualizado. Como CD de arranque es autónomo y no funciona con su sistema Windows.

Si no se encuentra ningún virus, utilice “sfc /scannow” para reparar los archivos importantes de Windows. Vea este artículo .

Si eso tampoco funciona, debería Realizar una instalación de reparación .

Si nada funciona, debería formatear el disco duro y reinstalar Windows.

Otra herramienta que me gustaría añadir a la discusión es el Escáner de Seguridad de Microsoft . Acaba de ser lanzado hace unos meses. Es un poco como la Herramienta de eliminación de software malicioso , pero diseñada para su uso fuera de línea. Tendrá las últimas definiciones desde el momento en que lo descargues y sólo será utilizable durante 10 días ya que considerará su archivo de definiciones “demasiado viejo para usar”. Descárgalo con otro ordenador y ejecuta esto en modo seguro. Funciona bastante bien.

Un poco de teoría primero: por favor, date cuenta de que no hay sustituto para la comprensión.

El último antivirus es comprender lo que estás haciendo y en general lo que está pasando con tu sistema, con tu propia mente y en la llamada realidad.

Ninguna cantidad de software o hardware te protegerá completamente de ti mismo y de tus propias acciones, que en la mayoría de los casos es como el malware entra en un sistema en primer lugar.

La mayoría de los programas maliciosos, adware y spyware modernos de “nivel de producción” se basan en varios trucos de “ingeniería social” para engañarle y hacerle instalar aplicaciones “útiles”, complementos, barras de herramientas de navegadores, “escáneres de virus” o hacer clic en grandes botones verdes de descarga que instalarán el malware en su máquina.

Incluso un instalador de una aplicación supuestamente fiable, como por ejemplo uTorrent, instalaría de forma predeterminada adware y posiblemente spyware si simplemente haces clic en el botón Siguiente y no te tomas el tiempo de leer lo que significan todas las casillas de verificación.

La mejor manera de combatir los trucos de ingeniería social que utilizan los hackers es ingeniería social inversa - si dominas esta técnica lograrás evitar la mayoría de los tipos de amenazas y mantener tu sistema limpio y saludable incluso sin un antivirus o cortafuegos.

Si has notado signos de formas de vida maliciosas/no solicitadas que habitan en tu sistema la única solución limpia sería reformatear y reinstalar completamente tu sistema. Haga una copia de seguridad como se describe en otras respuestas aquí, formatee rápidamente los discos y reinstale su sistema, o, mejor aún, mueva los datos útiles a algún almacenamiento externo, y vuelva a crear una imagen de la partición del sistema a partir de un volcado de partición limpio que haya hecho anteriormente.

Algunos ordenadores tienen una opción de BIOS para revertir el sistema a la configuración original de fábrica. Aunque esto pueda parecer un poco exagerado, nunca hará daño y, lo que es más importante, esto resolverá todos los demás problemas eventuales, ya sea que los conozca o no, sin tener que manejar cada problema uno por uno.

La mejor manera de “arreglar” un sistema comprometido es no arreglarlo en absoluto, sino volver a una conocida “buena” instantánea usando algún tipo de software de imagen de particiones, como Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager, o por ejemplo dd si hizo la copia de seguridad desde Linux.

Con referencia a William Hilsum “Cómo me deshago de esto”: Using A Live CD “ arriba:

Un virus no podrá funcionar en un entorno de CD vivo, por lo que puede hacer uso temporal de su ordenador sin temor a una mayor infección. Lo mejor de todo es que puedes acceder a todos tus archivos. El 20 de junio de 2011 Justin Pot escribió un folleto titulado "50 usos geniales para los Live CDs”. El principio del folleto explica cómo arrancar desde un CD, una unidad flash o una tarjeta SD, y las páginas 19-20 explican cómo escanear con diferentes “antimalware”, algunos de los cuales ya se han mencionado. Los consejos dados son invaluables para este escenario, y están explicados en un inglés fácil de entender. Por supuesto, el resto del folleto es invaluable para sus otras necesidades informáticas. (el enlace para la descarga (en formato PDF) se proporciona desde el siguiente enlace. Recuerde siempre ser sensato cuando use Internet, no se sienta tentado a desviarse a “lugares” donde es muy probable que el malware esté al acecho, y debería estar bien. Cualquier Antivirus, Suites de Seguridad de Internet, etc. que pueda estar utilizando debería tener las últimas actualizaciones, y cualquier sistema operativo que pueda estar utilizando también debería mantenerse actualizado. http://www.makeuseof.com/tag/download-50-cool-live-cds/

Una vez que haya hecho clic o copiado y pegado el enlace anterior, por favor haga clic en

DOWNLOAD 50 Cool Uses for Live CDs (escrito en azul)

Por favor Nota Intenté escribir esto en la sección de comentarios, pero no pude encajarlo. Así que lo he dado en una respuesta oficial, ya que es invaluable.

Dos puntos importantes:

1. No te infectes en primer lugar. Usa un buen cortafuegos y antivirus, y practica la “computación segura”… aléjate de los sitios dudosos y evita descargar cosas cuando no sabes de dónde vienen.
2. Tenga en cuenta que muchos sitios de Internet le dirán que está “infectado” cuando en realidad no lo está: quieren engañarle para que compre su antispyware basura o, lo que es peor, quieren que descargue cosas que son, de hecho, spyware disfrazado como una “aplicación antispyware gratuita”. Del mismo modo, tenga en cuenta que muchos en este sitio, en su mayoría por estupidez, diagnosticarán cualquier error “raro”, en particular el tipo de corrupción del registro por el que Windows es famoso, como signos de spyware.

Como se ha sugerido anteriormente en este tema, si ESTÁ SEGURO de que está infectado, utilice un live CD de linux para arrancar su ordenador y haga inmediatamente una copia de seguridad de todos sus datos sensibles.

También es una buena práctica tener sus archivos sensibles almacenados en un disco duro diferente de la unidad de arranque de su sistema operativo. De esta manera puedes formatear el sistema infectado de forma segura y ejecutar un escaneo completo de tus datos sensibles sólo para estar seguro.

De hecho, no hay mejor solución que formatear la partición del sistema para asegurarte de que ejecutas un entorno libre de virus y malware. Incluso si ejecutas una buena herramienta (y sin duda hay muchas por ahí), siempre quedan restos y tu sistema puede parecer limpio por el momento, pero seguramente se convierte en una bomba de relojería a la espera de explotar más tarde.

El 8 de diciembre de 2012. Remove-Malware publicó un video tutorial titulado “Remove Malware Free 2013 Edition ” junto con una guía complementaria que describe cómo deshacerse del malware de su PC infectado de forma gratuita.

Describen

• Copia de seguridad - Cómo hacer una copia de seguridad de sus documentos personales importantes en caso de que su PC se vuelva inaccesible.
• Recopilación del software necesario para esta guía.
• Antivirus de arranque - Por qué un antivirus de arranque es la mejor manera de eliminar el malware.
• Disco de antivirus de arranque - Cómo crear un disco de antivirus de arranque.
• Disco de antivirus de arranque - Cómo escanear su PC con un disco de antivirus de arranque.
• Limpieza - Redondee los restos y elimínelos.
• Evitar que vuelva a ocurrir

El video tutorial tiene una duración de más de 1 hora y junto con la guía escrita es un excelente recurso.

El video tutorial link

Guía escrita link

Actualización:

Un muy informativo artículo escrito hoy 1 de febrero de 2013 por J. Brodkin titulado “Virus, troyanos y gusanos, oh mi: Lo básico sobre el malware El malware para móviles puede estar de moda, pero el malware para PC sigue siendo el gran problema” de arstechnica.com destaca el continuo problema del malware y los diferentes tipos de malware con explicaciones de cada uno, destacando:

• Backdoors
• Troyanos de acceso remoto
• Robadores de información
• Ransomware

El artículo también destaca la propagación del malware, la operación de botnets y los negocios bajo ataque.

RESPUESTA CORTA:

1. Copia de seguridad de todos tus archivos.
2. Formatea tu partición del sistema.
4. Reinstalar Windows.
5. Instalar un antivirus.
6. Actualizar tus ventanas.
7. Escanear tu copia de seguridad con un antivirus **antes de empezar a usarlo.

Hoy en día nunca puedes estar seguro de haber eliminado completamente una infestación, excepto si limpias tu disco duro y empiezas de nuevo.

No creo que los programas AV como MSE, MCAfee, Norton, Kaspersky, etc. puedan protegerte al 100% porque sus archivos de definición siempre vienen después del hecho - después de que el malware ya está ahí fuera en la web y puede haber hecho mucho daño. Y muchos de ellos no te protegen contra PUPs y Adware.

Tampoco creo que los escáneres como Malwarbytes, Superantispyware, Bitdefender scanner y otros puedan ayudar mucho cuando el malware ya ha dañado tu sistema. Si tienes suficientes escáneres, podrás eliminar el malware pero no podrás reparar el daño que ha causado este malware.

Por lo tanto, he desarrollado una estrategia de dos capas:

1. Hago imágenes semanales (utilizo * Macrium libre **) de mi partición del sistema y de mi partición de datos a dos discos externos que sólo se conectan durante la imagen. De esta manera, ningún malware puede llegar a ellos. Si algo no funciona en mi sistema, siempre puedo restaurar la última imagen. Normalmente guardo media docena de imágenes completas en caso de que tenga que retroceder más que la semana pasada. Además, tengo activada la restauración del sistema en mi sistema operativo, de modo que puedo volver atrás rápidamente en caso de una actualización defectuosa. Pero las imágenes de sistema (sombras) no son muy fiables porque pueden desaparecer por varias razones. Confiar sólo en las imágenes de sistema no es suficiente.

2. La mayor parte de mi trabajo en Internet lo hago desde una partición virtual de Linux. El propio Linux no es el objetivo del malware y el malware de Windows no puede afectar a Linux. Con ese sistema hago

todas mis descargas y las compruebo con * Virus Total ** antes de pasarlas al sistema Windows. Virus Total ejecuta el archivo a través de 60 de los programas AV más conocidos y si sale limpio, las posibilidades de que esté limpio son muy altas.

todo el acceso a internet a sitios web donde no estoy 100% seguro de que estén limpios - como por ejemplo este sitio web de aquí.

todo mi correo. Esa es la ventaja de Gmail y AOL. Puedo comprobar mi correo con mi navegador. Aquí puedo abrir cualquier correo sin temor a contraer un virus. Y los archivos adjuntos los ejecuto a través de Virus Total.

toda mi banca en línea. Linux me proporciona una capa extra de seguridad

Con este enfoque no he visto ningún malware en años. Si quieres probar una partición virtual de Linux, * aquí está cómo **.

¿Cuáles son los síntomas de una infección?

podría no ser nada que el usuario pudiera entender en términos de rendimiento o de cualquier otra forma, en estos casos sin el 100% de precisión podría ver algo en el gestor de tareas ejecutándose y no tiene ni idea de lo que es, o cómo llegó a estar ahí… pero hay casos en los que el rendimiento de los ordenadores es pobre, los programas se ejecutan más lentamente, o no se ejecutan en absoluto, o lo que sea. …los síntomas realmente varían y hay casos en que una infección puede ser obvia casi sin pensarlo dos veces, hay casos que es muy difícil de entender incluso que algo salga mal. Todo depende de lo que se infecte (virus, troyano, llámelo como quiera) y sobre todo del disgusto que causó.

¿Qué debo hacer después de notar una infección? ¿Qué puedo hacer para deshacerme de ella? 1. 1. Escanee su ordenador con un Antivirus. (KAspersky Internet Security, McAfee, Avast, etc etc). Tenga en cuenta que incluso usando el MEJOR Antivirus puede encontrar de qué está infectado, pero la desinfección es NO 100% garantizada. 2. Haz una copia de seguridad de tus archivos (asegúrate de que no estén infectados también) y asegúrate de deshacerte de todos los archivos infectados de tu ordenador aunque esto signifique eliminarlos. si los usas, te volverás a infectar, así que considéralos perdidos de todas formas. Es posible que desee intentar utilizar otro programa antivirus y eso está bien, pero no tenga muchas esperanzas. 3. la mejor/máquina/más rápida/más efectiva manera de deshacerse de una infección, es formatear tu disco duro y hacer una instalación limpia de tu sistema operativo. 4. si estás a punto de usar CUALQUIER copia de seguridad, asegúrate de volver a analizarla con un programa antivirus antes de aplicarla. también podría estar infectada antes de que pudieras entender que algo anda mal.

¿cómo prevenir la infección por malware?

1. Usando un Antivirus, hoy en día la mayoría de los programas antivirus son una solución para casi todos los tipos de malware/virus, etc. Ten en cuenta que es mejor prevenir que intentar resolver el problema más tarde. En la mayoría de los casos son de gran ayuda. Aplicaciones como SpyHunter, Malware bytes, Spybot, etc. también son excelentes para una protección extra. Usar un Firewall también ayuda. Ten en cuenta que aunque tu ordenador esté desconectado y no tenga conexión a Internet, sigue siendo necesario un antivirus. ¿Razón? puedes usar CDs, memorias USB, DVDs u otros archivos que vienen de amigos/clientes, etc., que pueden estar infectados. Descargar/instalar/utilizar software de fuentes confiables. 3. Entrar en sitios de Internet de confianza. Asegúrese de que su sistema operativo esté SIEMPRE ACTUALIZADO! Las actualizaciones no sólo son para un mejor rendimiento, sino también para la seguridad.

El problema de escanear el malware externamente o con un CD en vivo es que muchas de estas desagradables piezas de software se enganchan en los procesos de memoria, los controladores y mucho más. Si el sistema operativo del PC no está cargado tampoco lo están, lo que hace que el proceso de eliminación sea frustrante. SIEMPRE escudriña en busca de malware mientras el sistema operativo infectado se inicia.

Dicho esto, carga Windows con una copia de RKILL en una unidad USB. La ejecución de esta utilidad mata cualquier proceso de malware que se arrastre en segundo plano, permitiéndole seguir adelante con la eliminación. Es MUY efectivo. Aún no me he encontrado con una situación en la que el programa haya fallado en su trabajo y me sorprende cuántos técnicos no han oído hablar de él.

A continuación elijo escanear con bytes de Malware o ComboFix. La ventaja de estos escáneres es que en lugar de utilizar definiciones de virus, localizan el malware de forma incesante basándose en su comportamiento, una técnica muy efectiva. Pero una advertencia: también son mucho más peligrosos y pueden realmente arruinar una tienda seria en tu sistema operativo. Asegúrate de tener una copia de seguridad.

El 90 por ciento del tiempo el proceso anterior funciona para mí y elimino una TONELADA de estas cosas a diario. Si eres un paranoico extra, ejecutar un análisis con algo como AVG, SuperAntiSpyware o Microsoft Security Essentials puede no ser una mala idea. Aunque no he visto que estos programas detecten mucho más que la inofensiva cookie de rastreo, algunas personas juran por ellos. Dese la tranquilidad y hágalo si es necesario.