“Moba” Virus
Moba es una familia DJVU de infecciones de tipo ransomware1. Esta infección encripta archivos personales importantes (video, fotos, documentos). Los archivos cifrados se pueden rastrear mediante la extensión específica “.moba”. Entonces, no puedes abrirlos en absoluto.
En este tutorial, intentaré ayudarlo a eliminar el virus Moba sin ningún pago. Además, lo ayudaré a decodificar sus archivos cifrados.
¿Qué es “Moba”?
Moba puede identificarse correctamente como una infección de ransomware.
El ransomware es un tipo específico de virus que encripta sus documentos y luego lo obliga a pagar por ellos. Tenga en cuenta que la DJVU (también conocido como STOP) ransomware fue revelada y analizada por primera vez por un analista de virus – Michael Gillespie2.Moba es similar a otros representantes de la misma familia: Vawe, Tabe, Usam. Cifra todos los tipos de archivos populares. Por lo tanto, no puede trabajar con sus documentos. El virus Moba agrega su propia extensión “.moba” en todos los archivos. Por ejemplo, el archivo “video.avi” se modificará en “video.avi.moba”. Tan pronto como se realiza el cifrado, Moba suelta un archivo de texto especial “_readme.txt” y lo agrega a todas las carpetas que contienen los archivos modificados.
Aquí hay un breve detalle para el ransomware Moba:
Familia de ransomware3 | DJVU/STOP4 ransomware |
Extensión | .moba |
Nota de ransomware | _readme.txt |
Rescate | De $490 a $980 (en Bitcoins) |
Contacto | helpmanager@mail.ch, restoremanager@airmail.cc |
Detección5 | Win32/Kryptik.HEFN, Trojan:Win32/CryptInject.RBA!MTB, Trojan-Banker.Win32.Qbot.wgy |
Síntomas | La mayoría de sus archivos (fotos, videos, documentos) tienen una extensión .moba y no puede abrirla |
Herramienta de reparación | Ver si su sistema ha sido afectado por el virus de archivo .moba |
Este texto solicitando el pago es para restaurar archivos mediante una clave de descifrado:
El algoritmo de criptografía utilizado por Moba es AES-256. Entonces, si sus documentos se cifraron con una clave de descifrado específica, que es totalmente distinta y no hay otras copias. La triste realidad es que es imposible recuperar la información sin la clave única disponible.
En el caso de si Moba trabajaba en modo en línea, es imposible que tenga acceso a la clave AES-256. Se almacena en un servidor remoto propiedad de los delincuentes que distribuyen el ransomware Moba.
Para recibir la clave de descifrado, el pago debe ser de $ 980. Para obtener los detalles del pago, el mensaje anima a las víctimas a ponerse en contacto con los fraudes por correo electrónico. (helpmanager@mail.ch).
Recibimos informes de algunos usuarios de que obtuvieron un archivo readme.txt modificado. Los estafadores ahora piden una suma mucho mayor por descifrar: hasta 1500 $, si no lo hacen en 72 horas, pero también amenazan al usuario para eliminar todos sus archivos. Es la misma táctica que muchos otros ransomware hicieron.
¡No pagues por Moba!
Por favor, intente usar las copias de seguridad disponibles o la herramienta Decrypter
El archivo _readme.txt también indica que los propietarios de las computadoras deben ponerse en contacto con los representantes de Moba durante 72 horas a partir del momento en que se cifran los archivos. Con la condición de ponerse en contacto dentro de las 72 horas, los usuarios recibirán un reembolso del 50%. Por lo tanto, el monto del rescate se reducirá al mínimo a $ 490). Sin embargo, ¡manténgase alejado de pagar el rescate!
Ciertamente recomiendo que no contacte a estos delincuentes y no pague. Una de las soluciones de trabajo más reales para recuperar los datos perdidos: simplemente usando las copias de seguridad disponibles, o use herramienta de descifrado.
La peculiaridad de todos estos virus aplica un conjunto similar de acciones para generar la clave de descifrado única para recuperar los datos cifrados.
Por lo tanto, a menos que el ransomware todavía se encuentre en la etapa de desarrollo o posea algunos defectos difíciles de rastrear, recuperar los datos cifrados es algo que no puede realizar. La única solución para evitar la pérdida de sus valiosos datos es hacer copias de seguridad de sus archivos cruciales con regularidad.
Tenga en cuenta que incluso si mantiene dichas copias de seguridad regularmente, deben colocarse en una ubicación específica sin merodear, sin estar conectadas a su estación de trabajo principal.
Uno de los casos más desagradables es cuando Moba ransomware se inyecta en sus archivos de respaldo. Al ver los resultados del ataque de ransomware: archivos cifrados con extensiones .moba, archivos _readme.txt en cada carpeta: los usuarios actúan sin dudarlo, utilizando una copia de seguridad para restaurar un sistema desde la versión sin ransomware. No obstante, dichos usuarios podrían tener una broma maliciosa, cuando terminen su copia de seguridad y descubran que tienen un ataque de ransomware, nuevamente.
Una característica común de todos los ransomware es que su inicio se retrasa por defecto. Después de que sea una inyección en su PC, no lo notará en absoluto. Moba ransomware comenzará el cifrado solo después de que obtenga el comando apropiado del servidor de comandos, que es impulsado por los distribuidores de ransomware. Y cuando el usuario nota archivos con extensiones .moba y archivos readme.txt, ya es demasiado tarde para cualquier acción, excluyendo el uso de la herramienta de descifrado y el software antimalware.
Además, por razones bastante comprensibles, Moba ransomware tiene un mecanismo bastante complejo, que evita los intentos del usuario de evitar el cifrado. Ransomware se agrega al arbusto de registro RunOnce, que le permite iniciar con el inicio de Windows, por lo que el usuario no puede detener el proceso de cifrado sin usar trucos hábiles como iniciar el sistema con la línea de comando, o sea, deshabilitar cualquier lanzamiento de software, excluyendo el software patentado de Windows.
Moba ransomware, como la mayoría de otros ransomware, pone su computadora en un paquete con otro malware. Por lo general, obtienes algún tipo de secuestrador de navegador o puerta trasera. En el caso de algo ligero, como el secuestrador, el usuario puede eliminarlo incluso manualmente, pero el malware de puerta trasera o cualquier otro “disimulado” se esconderá dentro de su PC, pero aún puede detectarlo de muchas maneras a pesar del software antimalware. Pero de todos modos, si obtienes un malware Lite, esa es una razón para comenzar un análisis completo en tu antivirus porque puede ser un signo de algo mucho más grave.
Por ejemplo, la copia de seguridad se puede guardar en la unidad flash USB o en un almacenamiento externo alternativo en el disco duro. Opcionalmente, puede consultar la ayuda del almacenamiento de información en línea (en la nube).
No es necesario mencionar que, cuando mantiene sus datos de respaldo en su dispositivo común, pueden estar cifrados de manera similar, así como otros datos.
Por esta razón, localizar la copia de seguridad en su PC principal seguramente no es una buena idea.
How I was infected?
Moba tiene varios métodos para incorporar a su sistema. Pero en realidad no importa de qué manera concreta haya un lugar en su caso.
Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — sitios que distribuyen Moba Ransomware. Este virus puede infectar cualquier PC descargada de sus sitios.
Otros sitios similares:
xxxxs://crackithub[.]com/adobe-acrobat-pro/ xxxxs://crackithub[.]com/easyworship-7-crack/ xxxxs://kmspico10[.]com/ xxxxs://kmspico10[.]com/office-2019-activator-kmspico/ xxxxs://piratepc[.]net/category/activators/ xxxxs://piratepc[.]net/startisback-full-cracked/
Ataque de ransomware Moba luego de un intento de phishing exitoso.
- instalación oculta junto con otras aplicaciones, especialmente las utilidades que funcionan como freeware o shareware;
- enlace dudoso en correos electrónicos no deseados que conducen al instalador de Moba;
- recursos de alojamiento gratuito en línea;
- utilizando recursos ilegales entre pares (P2P) para descargar software pirateado.
Hubo casos en que el virus Moba se disfrazó como una herramienta legítima, por ejemplo, en los mensajes que exigían iniciar algunas actualizaciones de software o navegador no deseadas. Por lo general, esta es la forma en que algunos fraudes en línea pretenden forzarlo a instalar el ransomware Moba de forma manual, haciéndole participar directamente en este proceso.
Seguramente, la alerta de actualización falsa no indicará que realmente va a inyectar el ransomware Moba. Esta instalación estará oculta bajo alguna alerta que mencione que supuestamente debería actualizar Adobe Flash Player o algún otro programa dudoso.
Por supuesto, las aplicaciones crackeadas también representan el daño. El uso de P2P es ilegal y puede provocar la inyección de malware grave, incluido el ransomware Moba.
En resumen, ¿qué puede hacer para evitar la inyección del ransomware Moba en su dispositivo? Aunque no existe una garantía del 100% para evitar que su PC se dañe, hay algunos consejos específicos que quiero darle para evitar la penetración de Moba. Debe tener cuidado al instalar software libre hoy.
Asegúrese de leer siempre lo que ofrecen los instaladores además del programa gratuito principal. Manténgase alejado de abrir archivos adjuntos sospechosos de correo electrónico. No abra archivos de destinatarios desconocidos. Por supuesto, su programa de seguridad actual siempre debe actualizarse.
El malware no habla abiertamente sobre sí mismo. No se mencionará en la lista de sus programas disponibles. Sin embargo, estará enmascarado bajo algún proceso malicioso que se ejecuta regularmente en segundo plano, comenzando desde el momento en que inicia su computadora.
El mensaje del ransomware Moba establece la siguiente información frustrante:
ATTENTION! Don't worry, you can return all your files! All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key. The only method of recovering files is to purchase decrypt tool and unique key for you. This software will decrypt all your encrypted files. What guarantees you have? You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information. You can get and look video overview decrypt tool: https://we.tl/t-SIiUh1jDFZ Price of private key and decrypt software is $980. Discount 50% available if you contact us first 72 hours, that's price for you is $490. Please note that you'll never restore your data without payment. Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours. To get this software you need write on our e-mail: helpmanager@mail.ch Reserve e-mail address to contact us: restoremanager@airmail.cc Your personal ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
La siguiente imagen ofrece una visión clara de cómo se ven los archivos con la extensión “.moba”:
Inmediatamente tuve que instalar el sistema operativo de mi PC nuevamente.
Además de los archivos guardados en un HDD separado, todos tienen la extensión “.moba” y no puedo abrir los archivos. ¿Cómo restaurar un archivo atacado por un virus? ¿Moba Ransomware?
De carta
¿Cómo eliminar el virus Moba?
Además, para codificar los archivos de una víctima, el virus Moba también ha comenzado a instalar el Azorult Spyware en la PC para robar credenciales de cuenta, billeteras de criptomonedas, archivos de escritorio y más.
Razones por las que recomendaría GridinSoft6
No hay mejor manera de reconocer, eliminar y prevenir el ransomware que usar un software antimalware de GridinSoft7.
Descargar herramienta de eliminación.
Puede descargar GridinSoft Anti-Malware haciendo clic en el botón a continuación:
Ejecute el archivo de instalación.
Cuando finalice la descarga del archivo de instalación, haga doble clic en el archivo setup-antimalware-fix.exe para instalar GridinSoft Anti-Malware en su PC.
User Account Control que le pregunta si desea permitir que GridinSoft Anti-Malware realice cambios en su dispositivo. Por lo tanto, debe hacer clic en “Yes” para continuar con la instalación.
Presione el botón “Install”.
Una vez instalado, Anti-Malware se ejecutará automáticamente.
Espere a que se complete el análisis antimalware.
GridinSoft Anti-Malware comenzará automáticamente a escanear su PC para detectar infecciones de Moba y otros programas maliciosos. Este proceso puede demorar entre 15 y 20 minutos, por lo que le sugiero que verifique periódicamente el estado del proceso de escaneo.
Haga clic en “Clean Now”.
Cuando finalice el análisis, verá la lista de infecciones que GridinSoft Anti-Malware ha detectado. Para eliminarlos, haga clic en el botón “Limpiar ahora” en la esquina derecha.
¿Cómo descifrar archivos .moba?
Solución de restauración para grandes archivos “.moba“
Intente eliminar la extensión .moba en algunos archivos GRANDES y ábralos. O bien la infección de Moba leyó y no cifró el archivo, o falló y no agregó el marcador del archivo. Si sus archivos son muy grandes (2GB +), lo último es muy probable. Por favor, hágamelo saber en los comentarios si eso funcionará para usted.
Las extensiones más recientes se lanzaron a fines de agosto de 2019 después de que los delincuentes hicieron cambios. Esto incluye Nypd, Zorab, Zwer, etc.
Como resultado de los cambios realizados por los delincuentes, STOPDecrypter ya no es compatible. Tt se ha eliminado y reemplazado con el Emsisoft Decryptor para STOP Djvu Ransomware desarrollado por Emsisoft y Michael Gillespie.
Puede descargar la herramienta de descifrado gratuita aquí: Descifrador para STOP Djvu.
Descargue y ejecute la herramienta de descifrado.
Comience a descargar el herramienta de descifrado.
Asegúrese de iniciar la utilidad de descifrado como administrador. Debe aceptar los términos de la licencia que aparecerán. Para ello, haga clic en el botón “Yes“:
Tan pronto como acepte los términos de la licencia, aparecerá la interfaz de usuario del descifrador:
Seleccionar carpetas para descifrar.
Según la configuración predeterminada, el descifrador rellenará automáticamente las ubicaciones disponibles para descifrar las unidades disponibles actualmente (las conectadas), incluidas las unidades de red. Se pueden seleccionar ubicaciones adicionales (opcionales) con la ayuda del botón “Agregar”.
Los desencriptadores normalmente sugieren varias opciones teniendo en cuenta la familia específica de malware. Las opciones posibles actuales se presentan en la pestaña Opciones y se pueden activar o desactivar allí. Puede encontrar una lista detallada de las Opciones activas actualmente a continuación.
Haga clic en el botón “Decrypt”.
Tan pronto como agregue todas las ubicaciones deseadas para el descifrado en la lista, haga clic en el botón “Descifrar” para iniciar el procedimiento de descifrado.
Tenga en cuenta que la pantalla principal puede convertirlo en una vista de estado, que le permite conocer el proceso activo y las estadísticas de descifrado de sus datos.:
El descifrador le notificará tan pronto como se complete el procedimiento de descifrado. Si necesita el informe para sus documentos personales, puede guardarlo seleccionando el botón “Save Log”. Tenga en cuenta que también es posible copiarlo directamente en su portapapeles y pegarlo en correos electrónicos o mensajes del foro si es necesario.
Preguntas frecuentes
¿Cómo puedo abrir archivos “.moba“?
los archivos Moba contienen información importante. ¿Cómo puedo descifrarlos con urgencia?
De lo contrario, puede intentar restaurarlos a través de la función del sistema: Punto de restauración.
Todos los demás métodos requerirán paciencia.
Ha aconsejado utilizar GridinSoft Anti-Malware para eliminar Moba. ¿Significa esto que el programa eliminará mis archivos cifrados?
Necesita GridinSoft Anti-Malware para eliminar las infecciones activas del sistema. Lo más probable es que el virus que encriptó sus archivos aún esté activo y periódicamente realice una prueba de capacidad para encriptar aún más archivos. Además, estos virus instalan keyloggers y puertas traseras para acciones maliciosas adicionales (por ejemplo, robo de contraseñas, tarjetas de crédito) a menudo.
Decryptor no descifró todos mis archivos, o no todos fueron descifrados. ¿Qué tengo que hacer?
Lo mantendremos informado cuando aparezcan nuevas claves Moba o nuevos programas de descifrado.
¿Por qué el desencriptador Moba está atascado en “Inicio”?
¿Qué puedo hacer ahora?
- In the United States: On Guard Online;
- In Canada: Canadian Anti-Fraud Centre;
- In the United Kingdom: Action Fraud;
- In Australia: SCAMwatch;
- In New Zealand: Consumer Affairs Scams;
- In France: Agence nationale de la sécurité des systèmes d’information;
- In Germany: Bundesamt für Sicherheit in der Informationstechnik;
- In Ireland: An Garda Síochána;
Video Guide
Es mi video tutorial favorito: Cómo usar GridinSoft Anti-Malware y Emsisoft Decryptor para corregir infecciones de ransomware.
Si la guía no lo ayuda a eliminar el virus Moba, descargue el GridinSoft Anti-Malware que le recomendé. Además, siempre puedes preguntarme en los comentarios para obtener ayuda. ¡Buena suerte!
Necesito tu ayuda para compartir este artículo.
Es tu turno de ayudar a otras personas. He escrito esta guía para ayudar a personas como tú. Puede usar los botones a continuación para compartir esto en sus redes sociales favoritas Facebook, Twitter o Reddit.
Brendan SmithUser Review
( votes)( review)
References
- Infección de tipo ransomware: https://es.wikipedia.org/wiki/Ransomware
- Twitter: https://twitter.com/demonslay335
- Mis archivos están encriptados por ransomware, ¿qué debo hacer ahora?
- Acerca de DJVU (STOP) Ransomware.
- Enciclopedia de amenazas.
- Revisión de GridinSoft Anti-Malware del sitio HowToFix: https://howtofix.guide/gridinsoft-anti-malware/
- Más información sobre los productos GridinSoft: https://gridinsoft.com/comparison
Inglés Alemán Japonés Portugués, Brasil Francés Turco Chino tradicional Coreano
Como puedo descargar antivirus que me dicen acá si no me deja usar el internet
Error
Disculpe al utilizar Emsisoft Descrypter me sale en los archivos error: un componente externo produjo una exepcion.
Me puede ayudar con la solucion a que se debe este error muchas gracias bendiciones un buen dia
buenos dias, ¿como esta usted?… utilice el programa que dejo en su tutorial pero me da el siguiente mensaje…”No key for New Variant online ID: bcGLCwVpUt2ddeejj6mWDK0sjIzegBymcJccATtz
Notice: this ID appears to be an online ID, decryption is impossible” que puedo hacer mis archivos siguen en .moba y son importantes, muchas gracias si me podrias ayudar