Virus Moba ☣ (archivos .moba) — Cómo solucionarlo (+ Recuperar 💻 PC)

Written by Brendan Smith

“Moba” Virus

Moba es una familia DJVU de infecciones de tipo ransomware1. Esta infección encripta archivos personales importantes (video, fotos, documentos). Los archivos cifrados se pueden rastrear mediante la extensión específica “.moba”. Entonces, no puedes abrirlos en absoluto.
Reseña de GridinSoft Anti-Malware
¡Es mejor prevenir que reparar y arrepentirse!
Cuando hablamos de la intrusión de programas desconocidos en el funcionamiento de tu computadora, el proverbio "Más vale prevenir que lamentar" describe la situación de manera precisa. Gridinsoft Anti-Malware es exactamente la herramienta que siempre es útil tener en tu arsenal: rápida, eficiente, actualizada. Es apropiado usarla como ayuda de emergencia ante la más mínima sospecha de infección.
Prueba de 6 días de Anti-Malware disponible.
EULA | Política de privacidad | 10% Off Coupon
Suscríbete a nuestro canal de Telegram para ser el primero en conocer las noticias y nuestros materiales exclusivos sobre seguridad de la información.
En este tutorial, intentaré ayudarlo a eliminar el virus Moba sin ningún pago. Además, lo ayudaré a decodificar sus archivos cifrados.

¿Qué es “Moba”?

Moba puede identificarse correctamente como una infección de ransomware.
El ransomware es un tipo específico de virus que encripta sus documentos y luego lo obliga a pagar por ellos. Tenga en cuenta que la DJVU (también conocido como STOP) ransomware fue revelada y analizada por primera vez por un analista de virus – Michael Gillespie2.

Moba es similar a otros representantes de la misma familia: Vawe, Tabe, Usam. Cifra todos los tipos de archivos populares. Por lo tanto, no puede trabajar con sus documentos. El virus Moba agrega su propia extensión “.moba” en todos los archivos. Por ejemplo, el archivo “video.avi” se modificará en “video.avi.moba”. Tan pronto como se realiza el cifrado, Moba suelta un archivo de texto especial “_readme.txt” y lo agrega a todas las carpetas que contienen los archivos modificados.

Aquí hay un breve detalle para el ransomware Moba:
Familia de ransomware3DJVU/STOP4 ransomware
Extensión.moba
Nota de ransomware_readme.txt
RescateDe $490 a $980 (en Bitcoins)
Contactohelpmanager@mail.ch, restoremanager@airmail.cc
Detección5Win32/Kryptik.HEFN, Trojan:Win32/CryptInject.RBA!MTB, Trojan-Banker.Win32.Qbot.wgy
SíntomasLa mayoría de sus archivos (fotos, videos, documentos) tienen una extensión .moba y no puede abrirla
Herramienta de reparaciónVer si su sistema ha sido afectado por el virus de archivo .moba

Este texto solicitando el pago es para restaurar archivos mediante una clave de descifrado:

Moba virus removal

El algoritmo de criptografía utilizado por Moba es AES-256. Entonces, si sus documentos se cifraron con una clave de descifrado específica, que es totalmente distinta y no hay otras copias. La triste realidad es que es imposible recuperar la información sin la clave única disponible.

En el caso de si Moba trabajaba en modo en línea, es imposible que tenga acceso a la clave AES-256. Se almacena en un servidor remoto propiedad de los delincuentes que distribuyen el ransomware Moba.

Para recibir la clave de descifrado, el pago debe ser de $ 980. Para obtener los detalles del pago, el mensaje anima a las víctimas a ponerse en contacto con los fraudes por correo electrónico. (helpmanager@mail.ch).

Recibimos informes de algunos usuarios de que obtuvieron un archivo readme.txt modificado. Los estafadores ahora piden una suma mucho mayor por descifrar: hasta 1500 $, si no lo hacen en 72 horas, pero también amenazan al usuario para eliminar todos sus archivos. Es la misma táctica que muchos otros ransomware hicieron.

¡No pagues por Moba!

Por favor, intente usar las copias de seguridad disponibles o la herramienta Decrypter

El archivo _readme.txt también indica que los propietarios de las computadoras deben ponerse en contacto con los representantes de Moba durante 72 horas a partir del momento en que se cifran los archivos. Con la condición de ponerse en contacto dentro de las 72 horas, los usuarios recibirán un reembolso del 50%. Por lo tanto, el monto del rescate se reducirá al mínimo a $ 490). Sin embargo, ¡manténgase alejado de pagar el rescate!

Ciertamente recomiendo que no contacte a estos delincuentes y no pague. Una de las soluciones de trabajo más reales para recuperar los datos perdidos: simplemente usando las copias de seguridad disponibles, o use herramienta de descifrado.

La peculiaridad de todos estos virus aplica un conjunto similar de acciones para generar la clave de descifrado única para recuperar los datos cifrados.

Por lo tanto, a menos que el ransomware todavía se encuentre en la etapa de desarrollo o posea algunos defectos difíciles de rastrear, recuperar los datos cifrados es algo que no puede realizar. La única solución para evitar la pérdida de sus valiosos datos es hacer copias de seguridad de sus archivos cruciales con regularidad.

Tenga en cuenta que incluso si mantiene dichas copias de seguridad regularmente, deben colocarse en una ubicación específica sin merodear, sin estar conectadas a su estación de trabajo principal.

Uno de los casos más desagradables es cuando Moba ransomware se inyecta en sus archivos de respaldo. Al ver los resultados del ataque de ransomware: archivos cifrados con extensiones .moba, archivos _readme.txt en cada carpeta: los usuarios actúan sin dudarlo, utilizando una copia de seguridad para restaurar un sistema desde la versión sin ransomware. No obstante, dichos usuarios podrían tener una broma maliciosa, cuando terminen su copia de seguridad y descubran que tienen un ataque de ransomware, nuevamente.

Una característica común de todos los ransomware es que su inicio se retrasa por defecto. Después de que sea una inyección en su PC, no lo notará en absoluto. Moba ransomware comenzará el cifrado solo después de que obtenga el comando apropiado del servidor de comandos, que es impulsado por los distribuidores de ransomware. Y cuando el usuario nota archivos con extensiones .moba y archivos readme.txt, ya es demasiado tarde para cualquier acción, excluyendo el uso de la herramienta de descifrado y el software antimalware.

Además, por razones bastante comprensibles, Moba ransomware tiene un mecanismo bastante complejo, que evita los intentos del usuario de evitar el cifrado. Ransomware se agrega al arbusto de registro RunOnce, que le permite iniciar con el inicio de Windows, por lo que el usuario no puede detener el proceso de cifrado sin usar trucos hábiles como iniciar el sistema con la línea de comando, o sea, deshabilitar cualquier lanzamiento de software, excluyendo el software patentado de Windows.

Moba ransomware, como la mayoría de otros ransomware, pone su computadora en un paquete con otro malware. Por lo general, obtienes algún tipo de secuestrador de navegador o puerta trasera. En el caso de algo ligero, como el secuestrador, el usuario puede eliminarlo incluso manualmente, pero el malware de puerta trasera o cualquier otro “disimulado” se esconderá dentro de su PC, pero aún puede detectarlo de muchas maneras a pesar del software antimalware. Pero de todos modos, si obtienes un malware Lite, esa es una razón para comenzar un análisis completo en tu antivirus porque puede ser un signo de algo mucho más grave.

Por ejemplo, la copia de seguridad se puede guardar en la unidad flash USB o en un almacenamiento externo alternativo en el disco duro. Opcionalmente, puede consultar la ayuda del almacenamiento de información en línea (en la nube).

No es necesario mencionar que, cuando mantiene sus datos de respaldo en su dispositivo común, pueden estar cifrados de manera similar, así como otros datos.

Por esta razón, localizar la copia de seguridad en su PC principal seguramente no es una buena idea.

How I was infected?

Moba tiene varios métodos para incorporar a su sistema. Pero en realidad no importa de qué manera concreta haya un lugar en su caso.
¡Advertencia! Infecciones por virus Moba

Crackithub[.]com, kmspico10[.]com, crackhomes[.]com, piratepc[.]net — sitios que distribuyen Moba Ransomware. Este virus puede infectar cualquier PC descargada de sus sitios.

Otros sitios similares:

xxxxs://crackithub[.]com/adobe-acrobat-pro/
xxxxs://crackithub[.]com/easyworship-7-crack/
xxxxs://kmspico10[.]com/
xxxxs://kmspico10[.]com/office-2019-activator-kmspico/
xxxxs://piratepc[.]net/category/activators/
xxxxs://piratepc[.]net/startisback-full-cracked/

Moba virus attack

Ataque de ransomware Moba luego de un intento de phishing exitoso.

Sin embargo, estas son las filtraciones comunes a través de las cuales puede inyectarse en su PC:

  • instalación oculta junto con otras aplicaciones, especialmente las utilidades que funcionan como freeware o shareware;
  • enlace dudoso en correos electrónicos no deseados que conducen al instalador de Moba;
  • recursos de alojamiento gratuito en línea;
  • utilizando recursos ilegales entre pares (P2P) para descargar software pirateado.

Hubo casos en que el virus Moba se disfrazó como una herramienta legítima, por ejemplo, en los mensajes que exigían iniciar algunas actualizaciones de software o navegador no deseadas. Por lo general, esta es la forma en que algunos fraudes en línea pretenden forzarlo a instalar el ransomware Moba de forma manual, haciéndole participar directamente en este proceso.

Seguramente, la alerta de actualización falsa no indicará que realmente va a inyectar el ransomware Moba. Esta instalación estará oculta bajo alguna alerta que mencione que supuestamente debería actualizar Adobe Flash Player o algún otro programa dudoso.

Por supuesto, las aplicaciones crackeadas también representan el daño. El uso de P2P es ilegal y puede provocar la inyección de malware grave, incluido el ransomware Moba.

En resumen, ¿qué puede hacer para evitar la inyección del ransomware Moba en su dispositivo? Aunque no existe una garantía del 100% para evitar que su PC se dañe, hay algunos consejos específicos que quiero darle para evitar la penetración de Moba. Debe tener cuidado al instalar software libre hoy.

Asegúrese de leer siempre lo que ofrecen los instaladores además del programa gratuito principal. Manténgase alejado de abrir archivos adjuntos sospechosos de correo electrónico. No abra archivos de destinatarios desconocidos. Por supuesto, su programa de seguridad actual siempre debe actualizarse.

El malware no habla abiertamente sobre sí mismo. No se mencionará en la lista de sus programas disponibles. Sin embargo, estará enmascarado bajo algún proceso malicioso que se ejecuta regularmente en segundo plano, comenzando desde el momento en que inicia su computadora.

El mensaje del ransomware Moba establece la siguiente información frustrante:

ATTENTION!
 
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-SIiUh1jDFZ
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
 
 
To get this software you need write on our e-mail:
helpmanager@mail.ch
 
Reserve e-mail address to contact us:
restoremanager@airmail.cc
 
Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

La siguiente imagen ofrece una visión clara de cómo se ven los archivos con la extensión “.moba”:

Virus Moba: archivos cifrados .moba

Ejemplo de archivos .moba cifrados

Hace dos días, descargué un programa de Internet y de repente todos mis archivos tenían una extensión llamada “.moba” añadida a su extensión original.

Inmediatamente tuve que instalar el sistema operativo de mi PC nuevamente.
Además de los archivos guardados en un HDD separado, todos tienen la extensión “.moba” y no puedo abrir los archivos. ¿Cómo restaurar un archivo atacado por un virus? ¿Moba Ransomware?
De carta

¿Cómo eliminar el virus Moba?

Además, para codificar los archivos de una víctima, el virus Moba también ha comenzado a instalar el Azorult Spyware en la PC para robar credenciales de cuenta, billeteras de criptomonedas, archivos de escritorio y más.
Razones por las que recomendaría GridinSoft6

No hay mejor manera de reconocer, eliminar y prevenir el ransomware que usar un software antimalware de GridinSoft7.

Descargar herramienta de eliminación.

Puede descargar GridinSoft Anti-Malware haciendo clic en el botón a continuación:

Ejecute el archivo de instalación.

Cuando finalice la descarga del archivo de instalación, haga doble clic en el archivo setup-antimalware-fix.exe para instalar GridinSoft Anti-Malware en su PC.

Run Setup.exe

User Account Control que le pregunta si desea permitir que GridinSoft Anti-Malware realice cambios en su dispositivo. Por lo tanto, debe hacer clic en “Yes” para continuar con la instalación.

GridinSoft Anti-Malware Setup

Presione el botón “Install”.

GridinSoft Anti-Malware Install

Una vez instalado, Anti-Malware se ejecutará automáticamente.

GridinSoft Anti-Malware Splash-Screen

Espere a que se complete el análisis antimalware.

GridinSoft Anti-Malware comenzará automáticamente a escanear su PC para detectar infecciones de Moba y otros programas maliciosos. Este proceso puede demorar entre 15 y 20 minutos, por lo que le sugiero que verifique periódicamente el estado del proceso de escaneo.

GridinSoft Anti-Malware Scanning

Haga clic en “Clean Now”.

Cuando finalice el análisis, verá la lista de infecciones que GridinSoft Anti-Malware ha detectado. Para eliminarlos, haga clic en el botón “Limpiar ahora” en la esquina derecha.

Resultado de análisis de GridinSoft Anti-Malware

¿Cómo descifrar archivos .moba?

Solución de restauración para grandes archivos “.moba

Intente eliminar la extensión .moba en algunos archivos GRANDES y ábralos. O bien la infección de Moba leyó y no cifró el archivo, o falló y no agregó el marcador del archivo. Si sus archivos son muy grandes (2GB +), lo último es muy probable. Por favor, hágamelo saber en los comentarios si eso funcionará para usted.

Las extensiones más recientes se lanzaron a fines de agosto de 2019 después de que los delincuentes hicieron cambios. Esto incluye Nypd, Zorab, Zwer, etc.

Como resultado de los cambios realizados por los delincuentes, STOPDecrypter ya no es compatible. Tt se ha eliminado y reemplazado con el Emsisoft Decryptor para STOP Djvu Ransomware desarrollado por Emsisoft y Michael Gillespie.

Puede descargar la herramienta de descifrado gratuita aquí: Descifrador para STOP Djvu.

El ransomware Moba solo cifra los primeros 150 KB de archivos. Como los archivos MP3 son bastante grandes, algunos reproductores multimedia (Winamp para uno) pueden reproducir los archivos, pero faltan los primeros 3-5 segundos (la parte encriptada).

Descargue y ejecute la herramienta de descifrado.

Comience a descargar el herramienta de descifrado.

Asegúrese de iniciar la utilidad de descifrado como administrador. Debe aceptar los términos de la licencia que aparecerán. Para ello, haga clic en el botón “Yes“:

Emsisoft Decryptor - license terms

Tan pronto como acepte los términos de la licencia, aparecerá la interfaz de usuario del descifrador:

Emsisoft Decryptor - user interface

Seleccionar carpetas para descifrar.

Según la configuración predeterminada, el descifrador rellenará automáticamente las ubicaciones disponibles para descifrar las unidades disponibles actualmente (las conectadas), incluidas las unidades de red. Se pueden seleccionar ubicaciones adicionales (opcionales) con la ayuda del botón “Agregar”.

Los desencriptadores normalmente sugieren varias opciones teniendo en cuenta la familia específica de malware. Las opciones posibles actuales se presentan en la pestaña Opciones y se pueden activar o desactivar allí. Puede encontrar una lista detallada de las Opciones activas actualmente a continuación.

Haga clic en el botón “Decrypt”.

Tan pronto como agregue todas las ubicaciones deseadas para el descifrado en la lista, haga clic en el botón “Descifrar” para iniciar el procedimiento de descifrado.

Tenga en cuenta que la pantalla principal puede convertirlo en una vista de estado, que le permite conocer el proceso activo y las estadísticas de descifrado de sus datos.:

Emsisoft Decryptor - the decryption statistics

El descifrador le notificará tan pronto como se complete el procedimiento de descifrado. Si necesita el informe para sus documentos personales, puede guardarlo seleccionando el botón “Save Log”. Tenga en cuenta que también es posible copiarlo directamente en su portapapeles y pegarlo en correos electrónicos o mensajes del foro si es necesario.

Preguntas frecuentes

¿Cómo puedo abrir archivos “.moba“?

De ninguna manera. Estos archivos están encriptados por Moba ransomware. El contenido de los archivos .moba no estará disponible hasta que se descifren.

los archivos Moba contienen información importante. ¿Cómo puedo descifrarlos con urgencia?

Si sus datos permanecieron en los archivos .moba son muy valiosos, lo más probable es que haya realizado una copia de seguridad.
De lo contrario, puede intentar restaurarlos a través de la función del sistema: Punto de restauración.
Todos los demás métodos requerirán paciencia.

Ha aconsejado utilizar GridinSoft Anti-Malware para eliminar Moba. ¿Significa esto que el programa eliminará mis archivos cifrados?

Por supuesto no. Sus datos encriptados no representan una amenaza para la computadora. Lo que pasó ya pasó.

Necesita GridinSoft Anti-Malware para eliminar las infecciones activas del sistema. Lo más probable es que el virus que encriptó sus archivos aún esté activo y periódicamente realice una prueba de capacidad para encriptar aún más archivos. Además, estos virus instalan keyloggers y puertas traseras para acciones maliciosas adicionales (por ejemplo, robo de contraseñas, tarjetas de crédito) a menudo.

Decryptor no descifró todos mis archivos, o no todos fueron descifrados. ¿Qué tengo que hacer?

Tener paciencia. Aparentemente, está infectado con la nueva versión del ransomware Moba, y las claves de descifrado aún no se han lanzado. Siga las noticias en nuestro sitio web.
Lo mantendremos informado cuando aparezcan nuevas claves Moba o nuevos programas de descifrado.

¿Por qué el desencriptador Moba está atascado en “Inicio”?

Cuando ejecuta el descifrador, busca archivos cifrados. Mostrará “Iniciando” hasta que pueda encontrar archivos “.moba”. Si el descifrador permanece atascado en “Inicio” durante mucho tiempo, esto significa que no puede encontrar ningún archivo cifrado “. Si ejecuta el Emsisoft Decryptor ‘tal cual’, revisará todos los archivos en cualquier unidad encuentra. Hasta que encuentre un archivo cifrado, permanecerá en “inicio”.

¿Qué puedo hacer ahora?

Si su computadora está infectada con ransomware, le recomiendo que se ponga en contacto con los siguientes sitios gubernamentales de fraude y estafa para informar este ataque:

Video Guide

Es mi video tutorial favorito: Cómo usar GridinSoft Anti-Malware y Emsisoft Decryptor para corregir infecciones de ransomware.

Si la guía no lo ayuda a eliminar el virus Moba, descargue el GridinSoft Anti-Malware que le recomendé. Además, siempre puedes preguntarme en los comentarios para obtener ayuda. ¡Buena suerte!

Necesito tu ayuda para compartir este artículo.

Es tu turno de ayudar a otras personas. He escrito esta guía para ayudar a personas como tú. Puede usar los botones a continuación para compartir esto en sus redes sociales favoritas Facebook, Twitter o Reddit.
Brendan Smith
Sending
User Review
4.44 (9 votes)
Comments Rating 5 (1 review)

References

  1. Infección de tipo ransomware: https://es.wikipedia.org/wiki/Ransomware
  2. Twitter: https://twitter.com/demonslay335
  3. Mis archivos están encriptados por ransomware, ¿qué debo hacer ahora?
  4. Acerca de DJVU (STOP) Ransomware.
  5. Enciclopedia de amenazas.
  6. Revisión de GridinSoft Anti-Malware del sitio HowToFix: https://howtofix.guide/gridinsoft-anti-malware/
  7. Más información sobre los productos GridinSoft: https://gridinsoft.com/comparison

Inglés Alemán Japonés Portugués, Brasil Francés Turco Chino tradicional Coreano

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

3 Comments

  1. Dany junio 25, 2020
  2. Fredy junio 28, 2020
  3. Fernando Lagos julio 17, 2020

Leave a Reply

Sending