Praleisti ir pereiti prie pagrindinio turinio

¿Cómo eliminar el ransomware Moqs de su sistema operativo?

 ¿Qué es moqs ransomware?

Moqs es un programa malicioso perteneciente a la familia djvu ransomware. Está diseñado para cifrar los datos y exigir rescates para el descifrado. En otras palabras, este ransomware hace que los archivos inaccesibles, y las víctimas se les pide el pago - para recuperar el acceso a sus datos.

Durante el proceso de cifrado, los archivos afectados se adjuntan con el ".moqs" extensión. Por ejemplo, un archivo denominado inicialmente algo como "1.jpg" aparecería como "1.jpg.moqs", "2.jpg" como "2.jpg.moqs", "3.jpg" como "3.jpg.moqs", etc. Después de que este proceso se ha completado, una nota de rescate se crea en un archivo de texto titulado "_readme.txt".


 Moqs ransomware cifra sus archivos y le obliga a pagar por ellos a través de la plataforma de transferencia criptomoneda. Los autores de malware afirman que no hay otras opciones que su herramienta de descifrado, que pueden proporcionar para $980 (aunque un 50% de descuento también se ofrece para aquellos que deciden pagar dentro de 72 horas de la infección). 

Muchos podrían considerar esta opción, ya que puede valer la pena si los datos en estos dispositivos son valiosos o necesarios para hacer el trabajo de uno. Uno podría sentir como si estuvieran siendo retenidos como rehenes en cierto sentido mientras esperan ansiosamente este pago inicial antes de que el acceso finalmente se otorgue de nuevo en una cuenta. Hasta entonces, todos los datos se han perdido al intentar guardar cualquier cosa desde el dispositivo infectado con este virus. Afortunadamente, hay algunos métodos alternativos que podrían ser útiles al tratar de devolver archivos de forma gratuita - un descifrador Djvu y software de recuperación de terceros podría funcionar para algunos.

Moqs nota de rescate visión general

El mensaje de petición de rescate ("_readme.txt") afirma que las bases de datos de las víctimas, documentos, imágenes, y otros archivos importantes han sido cifrados. Las claves de descifrado y las herramientas deben comprarse a los delincuentes cibernéticos, para restaurar los datos. El precio de las herramientas de recuperación se indica que es 980USD.

Si las víctimas establecen contacto con los criminales dentro de 72 horas - el rescate se reducirá en un 50% (490USD). La comunicación debe llevarse a cabo a través de correo electrónico. Además, un archivo cifrado (que no contiene información valiosa) se puede adjuntar a los correos electrónicos; el descifrado de este archivo servirá como prueba de que la restauración de datos es posible.

En caso de que no llegue ninguna respuesta de los delincuentes cibernéticos dentro de 6 horas, las víctimas se les indica que comprueben sus carpetas de correo electrónico "Spam / Basura" para la respuesta.

 


Moqs ransomware en detalle

Desafortunadamente, en la mayoría de las infecciones ransomware, descifrado es imposible sin la interferencia de los delincuentes cibernéticos responsables. Podría ser si el programa malicioso todavía está en desarrollo y / o tiene defectos significativos. Cualquiera que sea el caso, se aconseja expresamente en contra de cumplir con las demandas de rescate.

A pesar de pagar, las víctimas a menudo no reciben las herramientas de descifrado prometidas. Por lo tanto, sus archivos permanecen cifrados (esencialmente sin valor) y experimentan una pérdida financiera. Para evitar que Moqs ransomware de cifrados adicionales, debe ser eliminado del sistema operativo.

Sin embargo, la eliminación no restaurará los datos ya comprometidos. La única solución es recuperar los archivos de una copia de seguridad, si uno fue creado antes de la infección y almacenado en una ubicación diferente.

Similitudes con otras infecciones

Haron, Queclink, DECcenter y Pause son algunos ejemplos de programas maliciosos dentro de la categoría ransomware. Este tipo de malware opera mediante el cifrado de datos y / o el bloqueo de la pantalla del dispositivo - para exigir el pago por el descifrado.

Hay dos diferencias significativas entre ransomware - los algoritmos criptográficos que utiliza (simétrico o asimétrico) y el tamaño del rescate. Para evitar la pérdida permanente de datos, se recomienda almacenar copias de seguridad en servidores remotos y/o dispositivos de almacenamiento desconectados (preferiblemente, en varias ubicaciones separadas).

¿Cómo infectó el ransomware mi ordenador?

El ransomware y otros programas maliciosos se distribuyen comúnmente a través de campañas de spam, operaciones a gran escala durante las cuales se envían miles de correos electrónicos engañosos o fraudulentos. Estas cartas pueden tener archivos infecciosos adjuntos y / o vinculados dentro de ellos.

Los archivos maliciosos pueden estar en una variedad de formatos, por ejemplo, documentos PDF y Microsoft Office, archivos (ZIP, RAR, etc.), ejecutables (.exe, .run, etc.), JavaScript, etc. Cuando los archivos se ejecutan, se ejecutan o se abren de otro modo, se inicia la cadena de infección.

Los programas maliciosos (tipos de ransomware incluidos) suelen disfrazarse o incluirse con software/medios ordinarios. Las fuentes de descarga poco fiables, por ejemplo, sitios web de alojamiento de archivos no oficiales y gratuitos, redes de intercambio peer-to-peer y otros descargadores de terceros, a menudo ofrecen software malicioso.

Las herramientas de activación ilegal ("cracking") y los actualizadores fraudulentos son los principales ejemplos de contenido que propaga malware. Las "grietas" pueden infectar sistemas en lugar de activar productos con licencia. Los actualizadores falsos causan infecciones al explotar las debilidades de los programas obsoletos y/o al instalar software malicioso en lugar de las actualizaciones.

Cómo protegerse de las infecciones ransomware?

No se deben abrir correos electrónicos sospechosos e irrelevantes, especialmente los archivos adjuntos o enlaces presentes en ellos. Se recomienda descargar sólo de fuentes oficiales y verificadas. Además, todos los programas deben activarse o actualizarse con herramientas proporcionadas por desarrolladores legítimos.

Para proteger la integridad del dispositivo y la privacidad del usuario, es crucial tener un antivirus/antiespía fiable instalado y actualizado. Este software tiene que ser utilizado para ejecutar análisis regulares del sistema y para eliminar las amenazas detectadas. Si su equipo está infectado ya con Moqs, le recomendamos ejecutar un análisis con Combo Cleaner para eliminar automáticamente este ransomware.

ext presentado en el archivo de texto del ransomware Moqs ("_readme.txt"):


ATTENTION!

 

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted
with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
hxxps://we.tl/t-N3p42CffoV
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

 

To get this software you need write on our e-mail:
manager@mailtemp.ch

 

Reserve e-mail address to contact us:
managerhelper@airmail.cc

 

Your personal ID:

 NOTA IMPORTANTE! - Además de cifrar los datos, las infecciones de tipo ransomware de la familia de malware Djvu también agregan una serie de entradas al archivo "hosts" de Windows. Las entradas contienen direcciones URL de varios sitios web, la mayoría de los cuales están relacionados con la eliminación de malware.

Esto se hace para evitar que los usuarios accedan a sitios web de seguridad de malware y busquen ayuda. también está en la lista.

La eliminación de estas entradas, sin embargo, es simple: puede encontrar instrucciones detalladas en este artículo (tenga en cuenta que, aunque los pasos se muestran en el entorno de Windows 10, el proceso es prácticamente idéntico en todas las versiones del sistema operativo Microsoft Windows).

Actualmente hay dos versiones de las infecciones ransomware Djvu: viejo y nuevo. Las versiones anteriores fueron diseñadas para cifrar los datos mediante el uso de una "clave fuera de línea" codificada de forma impresa cada vez que la máquina infectada no tenía conexión a Internet o el servidor estaba tiempo de ejecución / no responde.

Por lo tanto, algunas víctimas pudieron descifrar los datos utilizando una herramienta desarrollada por el investigador de seguridad cibernética, Michael Gillespie, sin embargo, dado que el mecanismo de cifrado se ha cambiado ligeramente (de ahí la nueva versión, lanzada en agosto de 2019), el descifrador ya no funciona y ya no es compatible.

Si sus datos han sido cifrados por una versión anterior, es posible que pueda restaurarlo con la otra herramienta desarrollada por Emsisoft y Michael Gillespie. Es compatible con un total de 148 Variantes de Djvu y se puede encontrar más información, así como enlace de descarga y las instrucciones de descifrado en la página oficial de Emsisoft. 

https://decrypter.emsisoft.com/submit/stopdjvu/

Además, Emsisoft ahora está proporcionando un servicio que permite descifrar los datos (de nuevo, solo si fue cifrado por variantes de Djvu lanzadas antes de agosto de 2019) para aquellas víctimas que tienen un par del mismo archivo antes y después del cifrado.

Todo lo que las víctimas tienen que hacer es subir un par de archivos originales y cifrados a la página de descifrado Djvu de Emsisoft y descargar la herramienta de descifrado antes mencionada (el enlace de descarga se proporcionará después de cargar archivos). Tenga en cuenta que el procesamiento de archivos puede tardar algún tiempo, así que sea paciente.

También vale la pena mencionar que el sistema debe tener una conexión a Internet durante todo el proceso de descifrado, de lo contrario fallará.

Ahora vale la pena señalar que Djvu ransomware no cifra todo el archivo. En su lugar, cifra sólo una parte (inicio) del archivo, lo que lo hace inutilizable.

Por suerte, en algunos casos es posible restaurar otra parte del archivo, que no está encriptado. Esto es útil cuando se trata de archivos de audio / video, porque aunque el inicio no se restaurará, aún podrá usar la mayor parte.

Para restaurar los datos de audio / video le recomendamos que utilice Media_Repair herramienta desarrollada por DiskTuna. Esta herramienta es extremadamente simple y completamente gratuita. Puede encontrar el manual de usuario, así como descargar la herramienta directamente desde el sitio web de DiskTuna.

Denuncia de ransomware a las autoridades:

Si usted es víctima de un ataque de ransomware, le recomendamos que informe de este incidente a las autoridades. Al proporcionar información a las agencias de aplicación de la ley, ayudará a rastrear la ciberdelincuencia y potencialmente ayudará en el enjuiciamiento de los atacantes. Aquí hay una lista de autoridades donde debe informar de un ataque de ransomware. Para obtener la lista completa de los centros de ciberseguridad locales e información sobre por qué debe informar de los ataques de ransomware, lea este artículo.

Lista de autoridades locales donde se deben reportar ataques de ransomware (elija uno dependiendo de la dirección de su residencia):

Aislar el dispositivo infectado:

Algunas infecciones de tipo ransomware están diseñadas para cifrar archivos dentro de dispositivos de almacenamiento externos, infectarlos e incluso propagarse por toda la red local. Por esta razón, es muy importante aislar el dispositivo infectado (ordenador) tan pronto como sea posible.

Paso 1: Desconecte de Internet.

La forma más fácil de desconectar una computadora de Internet es desconectar el cable Ethernet de la placa base, sin embargo, algunos dispositivos están conectados a través de una red inalámbrica y para algunos usuarios (especialmente aquellos que no son particularmente conocedores de la tecnología), desconectar los cables puede parecer problemático. Por lo tanto, también puede desconectar el sistema manualmente a través del Panel de control:

Vaya al "Panel de control", haga clic en la barra de búsqueda en la esquina superior derecha de la pantalla, ingrese "Centro de redes y recursos compartidos" y seleccione el resultado de la búsqueda:

Haga clic en la opción "Cambiar la configuración del adaptador" en la esquina superior izquierda de la ventana:   

Haga clic derecho en cada punto de conexión y seleccione "Desactivar". Una vez desactivado, el sistema ya no estará conectado a Internet. Para volver a habilitar los puntos de conexión, simplemente haga clic con el botón derecho de nuevo y seleccione "Habilitar". 

Paso 2: Desconecte todos los dispositivos de almacenamiento.

Como se mencionó anteriormente, ransomware podría cifrar los datos e infiltrarse en todos los dispositivos de almacenamiento que están conectados a la computadora. Por esta razón, todos los dispositivos de almacenamiento externos (unidades flash, discos duros portátiles, etc.) deben desconectarse inmediatamente, sin embargo, le recomendamos encarecidamente que expulse cada dispositivo antes de desconectarse para evitar la corrupción de datos:

Vaya a "Mi PC", haga clic con el botón derecho en cada dispositivo conectado y seleccione "Expulsar": 

Paso 3: Cierre de sesión de las cuentas de almacenamiento en la nube.

Algunos de tipo ransomware podrían ser capaces de secuestrar el software que maneja los datos almacenados en "la nube". Por lo tanto, los datos podrían estar dañados o cifrados. Por este motivo, debe cerrar la sesión de todas las cuentas de almacenamiento en la nube dentro de los navegadores y otro software relacionado. También debe considerar la desinstalación temporal del software de gestión de la nube hasta que la infección se elimina por completo.
Identificar la infección ransomware:

Para manejar correctamente una infección, primero hay que identificarla. Algunas infecciones ransomware utilizan mensajes de petición de rescate como introducción (consulte el archivo de texto WALDO ransomware a continuación).

Esto, sin embargo, es raro. En la mayoría de los casos, las infecciones ransomware entregan mensajes más directos que simplemente indican que los datos están cifrados y que las víctimas deben pagar algún tipo de rescate. Tenga en cuenta que las infecciones de tipo ransomware suelen generar mensajes con diferentes nombres de archivo (por ejemplo, "_readme.txt", "READ-ME.txt", "DECRYPTION_INSTRUCTIONS.txt", "DECRYPT_FILES.html", etc.). Por lo tanto, utilizando el nombre de un mensaje de rescate puede parecer una buena manera de identificar la infección. El problema es que la mayoría de estos nombres son genéricos y algunas infecciones utilizan los mismos nombres, a pesar de que los mensajes entregados son diferentes y las infecciones en sí no están relacionadas. Por lo tanto, el uso del nombre de archivo del mensaje solo puede ser ineficaz e incluso conducir a la pérdida permanente de datos (por ejemplo, al intentar descifrar los datos utilizando herramientas diseñadas para diferentes infecciones ransomware, es probable que los usuarios terminen dañando permanentemente los archivos y el descifrado ya no será posible incluso con la herramienta correcta).

Sin embargo, este método solo es efectivo cuando la extensión anexada es única: muchas infecciones de ransomware añaden una extensión genérica (por ejemplo, ".encrypted", ".enc", ".crypted", ".locked", etc.). En estos casos, la identificación ransomware por su extensión anexa se hace imposible.

Una de las formas más fáciles y rápidas de identificar una infección ransomware es utilizar el sitio web id ransomware. Este servicio es compatible con la mayoría de las infecciones ransomware existentes. Las víctimas simplemente subir un mensaje de rescate y / o un archivo cifrado (le recomendamos que cargue ambos si es posible).

El ransomware se identificará en cuestión de segundos y se le proporcionará con varios detalles, tales como el nombre de la familia de malware a la que pertenece la infección, si es descodificarse, y así sucesivamente.

Ejemplo 1 (ransomware Qewe [Stop/Djvu]:Example 1 (Qewe [Stop/Djvu] ransomware):

Si sus datos pasan a ser cifrados por ransomware que no es compatible con ID ransomware, siempre se puede tratar de buscar en Internet mediante el uso de ciertas palabras clave (por ejemplo, un título del mensaje de rescate, extensión de archivo, correos electrónicos de contacto proporcionados, direcciones de billetera criptográfica, etc.).

Busque herramientas de descifrado ransomware:

Los algoritmos de cifrado utilizados por la mayoría de las infecciones de tipo ransomware son extremadamente sofisticados y, si el cifrado se realiza correctamente, solo el desarrollador es capaz de restaurar los datos. Esto se debe a que el descifrado requiere una clave específica, que se genera durante el cifrado. Restaurar datos sin la clave es imposible. En la mayoría de los casos, los ciberdelincuentes almacenan claves en un servidor remoto, en lugar de utilizar el equipo infectado como huésped. Dharma (CrySis), Phobos y otras familias de infecciones de ransomware de gama alta son prácticamente impecables, por lo que restaurar los datos cifrados sin la participación de los desarrolladores es simplemente imposible. A pesar de esto, hay docenas de infecciones de tipo ransomware que están mal desarrolladas y contienen una serie de defectos (por ejemplo, el uso de claves de cifrado / descifrado idénticas para cada víctima, claves almacenadas localmente, etc.). Por lo tanto, compruebe siempre si hay herramientas de descifrado disponibles para cualquier ransomware que se infiltre en su equipo.

Encontrar la herramienta de descifrado correcta en Internet puede ser muy frustrante. Por esta razón, le recomendamos que utilice el No Más Ransom Project y aquí es donde la identificación de la infección ransomware es útil. El sitio web de No More Ransom Project contiene una sección "Herramientas de descifrado" con una barra de búsqueda. Introduzca el nombre del ransomware identificado, y todos los descifradores disponibles (si los hay) se mostrarán.

Komentarai

Rašyti komentarą

Populiarūs šio tinklaraščio įrašai

System Progressive Protection Virus

When my friend told me she was infected with System Progressive Protection Virus, the first thing I did was find the activation key, because the rogue was threatening to lock down her computer. So I went and found this: System Progressive Protection Virus Registration code: 64C665BE-4DE7-423B-A6B6-BC0172B25DF2
Rašyti komentarą
Skaityti daugiau

MegaBackup virus

About this program MegaBackup virus refers to a program that offers backup services for Mac computers and spams users with advertisements. It uses questionable installation practices, which is one of the reasons why users might refer to it as a virus. It comes along with freeware, and if you don't notice it during installation, it will install alongside, even without your permission. It's not exactly a dangerous program, but the constant ads will get on your nerves quite quickly. They could also expose you to unreliable content, which could even lead to a malware infection. The program offers you backup services via cloud. Once it's installed, even in cases when it's done without your permission, it will start pestering you about not protecting files, and will offer its services. It used to be offered at $4.99/month but it seems that it is no longer available, according the their official website. In addition, Mac users have the option of using iC...
Rašyti komentarą
Skaityti daugiau

NRA Toolbar - Reworded

NRA Toolbar ist eine potenziell unerwünschte Anwendung, die als Browser-plugin markiert ist. Es bedeutet, dass es ein Add-in in Ihrem Browser, die Ihre gesamte Web installiert- und Durchsuchen von Erfahrung verbessern soll. NRA-Symbolleiste scheint jedoch ein sehr altes Produkt zu sein, das nicht mehr von seiner offiziellen Website unter Nraila unterstützt wird. org daher, wenn Sie NRA-Symbolleiste auf Ihrem Computer haben stark empfehlen wir Ihnen zu löschen, da dieser Browser-Plug-in ab sofort als FreeCause Symbolleiste bekannt ist, die mit einer Vielzahl von System-Sicherheitsrisiken verbunden sein können. Das gute an NRA-Toolbar ist ein altes Produkt ist, dass es nur mit Mozilla Firefox und Internet Explorer Web-Browsern kompatibel. Es ist nicht und kann nicht auf Google Chrome installiert werden. Auch zuvor verwendet es, um an der offiziellen Homepage der National Rifle Association durch Nraila vorhanden. Org/Toolbar, also das würde vorschlagen, dass der Hauptzweck der Symbollei...
Rašyti komentarą
Skaityti daugiau