La familia de infecciones de tipo ransomware llamada “Neon” utiliza el virus Neon. Este virus encripta los archivos (videos, fotos, documentos) y asigna una extensión específica “.neon” a los archivos encriptados. El método de cifrado utilizado por Neon es muy fuerte y resulta imposible calcular la clave de desencriptación.
Neon asigna una clave única a cada víctima, excepto en un caso:
- Si Neon no logra establecer una conexión con su servidor de comando y control (Servidor C&C) antes de iniciar el proceso de encriptación, utiliza una clave predefinida. Esta clave es idéntica para todas las víctimas y permite desencriptar los archivos afectados durante un ataque de ransomware.
He reunido una colección completa de todas las posibles soluciones, consejos y prácticas para neutralizar el virus Neon y descifrar archivos. En algunos casos, es fácil recuperar sus archivos. Y a veces es simplemente imposible.
Hay varios métodos universales para recuperar archivos .neon cifrados, que se demostrarán a continuación. Es vital leer detenidamente todo el manual de instrucciones y asegurarse de entenderlo todo. No omita ningún paso. Cada uno de estos pasos es muy importante y usted debe completarlos.
¿Virus Neon?
☝️ Neon se puede identificar correctamente como una infección de ransomware STOP/DJVU.
Neon
🤔 El virus Neon es un ransomware que se origina en la familia DJVU/STOP. Su objetivo principal es cifrar archivos que son importantes para usted. Después de que el virus ransomware le pida a sus víctimas una tarifa de rescate ($490 – $980) en BitCoin.
El malware Neon, un tipo específico de ransomware, encripta tus archivos y luego te obliga a pagar para restaurarlos. El analista de virus Michael Gillespie fue el primero en revelar y analizar la familia de ransomware Djvu/STOP.
El virus Neon se asemeja a otros ransomware DJVU como Weqp, Weon y Werz. Encripta todos los tipos de archivos populares y agrega su extensión particular “.neon” a todos los archivos. Por ejemplo, el archivo “1.jpg” se cambiará a “1.jpg.neon“. Una vez completado el proceso de encriptación, el virus genera un archivo de mensaje especial llamado “_readme.txt” y lo coloca en todas las carpetas que contienen los archivos modificados.
La siguiente imagen da una visión clara de cómo se ven los archivos con la extensión “.neon”:
Archivo Neon (STOP/DJVU Ransomware)
| Nombre | Virus Neon |
| Familia de ransomware1 | DJVU/STOP2 ransomware |
| Extensión | .neon |
| Nota de ransomware | _readme.txt |
| Rescate | De $490 a $980 (en Bitcoins) |
| Contacto | [email protected], [email protected] |
| Detección | Trojan:Win32/Redline!ic, Trojan:Win32/Vindor!pz, Trojan:Win32/Vindor!pz |
| Síntomas |
|
| Herramienta de reparación |
Para eliminar posibles infecciones de malware, escanee su PC:
Prueba gratuita de 6 días disponible. |
Este texto que solicita el pago es para recuperar los archivos a través de la clave de descifrado:
_readme.txt (STOP/DJVU Ransomware) – La alerta aterradora que exige a los usuarios que paguen el rescate para descifrar los datos codificados contiene estas advertencias frustrantes
El ransomware Neon realiza una serie de procesos en la computadora de la víctima. Uno de los primeros procesos es winupdate.exe, que muestra un mensaje falso de actualización de Windows durante el ataque para simular una desaceleración del sistema. Mientras tanto, otro proceso con un nombre aleatorio escanea el sistema en busca de archivos objetivo y los encripta. Además, el ransomware elimina las instantáneas de volumen del sistema mediante el siguiente comando CMD:
vssadmin.exe Delete Shadows /All /Quiet
Una vez eliminadas las instantáneas de volumen, se vuelve imposible restaurar el estado anterior de la computadora utilizando puntos de restauración del sistema. Los operadores del ransomware buscan desactivar cualquier método basado en el sistema operativo Windows que pueda ayudar a la víctima a restaurar archivos de forma gratuita. También modifican el archivo HOSTS de Windows para bloquear el acceso a sitios web específicos, lo que provoca un error DNS_PROBE_FINISHED_NXDOMAIN al intentar acceder a esos sitios.
Es importante destacar que el ransomware intenta bloquear sitios web que brindan guías prácticas para usuarios de computadoras, con el objetivo de evitar que la víctima acceda a información relevante sobre el ataque de ransomware en línea. Además, el virus guarda dos archivos de texto en la computadora de la víctima que contienen detalles relacionados con el ataque: la clave de cifrado pública y la identificación personal de la víctima. Estos archivos se llaman bowsakkdestx.txt y PersonalID.txt.
Una vez realizadas estas modificaciones, el malware no se detiene. Las variantes de STOP/DJVU suelen distribuir el troyano de robo de contraseñas Vidar en los sistemas comprometidos. Esta amenaza tiene una amplia gama de capacidades, que incluyen:
- Robo de credenciales de Steam, Telegram y Skype;
- Robo de billeteras de criptomonedas;
- Descarga y ejecución de malware en la computadora;
- Robo de cookies, contraseñas guardadas e historial de navegación;
- Visualización y manipulación de archivos en la computadora de la víctima;
- Permitir a los piratas informáticos realizar tareas remotas en la computadora de la víctima.
El algoritmo criptográfico utilizado por el ransomware DJVU/STOP es AES-256. Entonces, si sus documentos se cifraron con una clave de descifrado en línea, que es totalmente distinta. La triste realidad es que es imposible descifrar los archivos sin la clave única.
En caso de que Neon funcione en modo en línea, es imposible que obtenga acceso a la clave AES-256. Se almacena en un servidor remoto propiedad de los estafadores que promueven el virus Neon.
Para recibir la clave de descifrado, el pago debe ser de $980. Para obtener los detalles de pago, el mensaje anima a las víctimas a ponerse en contacto con los estafadores por correo electrónico ([email protected]).
El mensaje del ransomware indica la siguiente información:
ATTENTION! Don't worry, you can return all your files! All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key. The only method of recovering files is to purchase decrypt tool and unique key for you. This software will decrypt all your encrypted files. What guarantees you have? You can send one of your encrypted file from your PC and we decrypt it for free. But we can decrypt only 1 file for free. File must not contain valuable information. You can get and look video overview decrypt tool: https://we.tl/t-WJa63R98Ku Price of private key and decrypt software is $980. Discount 50% available if you contact us first 72 hours, that's price for you is $490. Please note that you'll never restore your data without payment. Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours. To get this software you need write on our e-mail: [email protected] Reserve e-mail address to contact us: [email protected] Your personal ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
¡No pagues por Neon!
Por favor, intente usar las copias de seguridad disponibles o la herramienta Decrypter
El archivo _readme.txt también indica que los propietarios de las computadoras deben ponerse en contacto con los representantes de Neon durante 72 horas a partir del momento en que se cifraron los archivos. Con la condición de ponerse en contacto dentro de las 72 horas, los usuarios recibirán un descuento del 50%. Por lo tanto, el monto del rescate se reducirá a $ 490). Sin embargo, ¡manténgase alejado de pagar el rescate!
Le recomiendo enfáticamente que no se comunique con estos fraudes y no pague. Una de las soluciones de trabajo más reales para recuperar los datos perdidos: solo use las copias de seguridad disponibles o use Decrypter herramienta.
La peculiaridad de todos estos virus aplica un conjunto similar de acciones para generar la clave de descifrado única para recuperar los datos cifrados.
Por lo tanto, a menos que el ransomware aún esté en etapa de desarrollo o posea algunas fallas difíciles de rastrear, la recuperación manual de los datos cifrados es algo que no puede realizar. La única solución para evitar la pérdida de sus valiosos datos es hacer copias de seguridad periódicas de sus archivos cruciales.
Tenga en cuenta que incluso si mantiene dichas copias de seguridad regularmente, deben colocarse en una ubicación específica sin merodear, sin estar conectadas a su estación de trabajo principal.
Por ejemplo, la copia de seguridad se puede guardar en la unidad flash USB o en algún almacenamiento de disco duro externo alternativo. Opcionalmente, puede consultar la ayuda del almacenamiento de información en línea (en la nube).
No hace falta mencionar que cuando mantiene sus datos de copia de seguridad en su dispositivo común, se pueden cifrar de manera similar, así como otros datos.
Por esta razón, ubicar la copia de seguridad en su PC principal seguramente no sea una buena idea.
¿Cómo estaba infectado?
Ransomware tiene varios métodos para integrarse en su sistema. Pero realmente no importa qué método se utilizó en su caso.
Ataque de Neon tras un intento de phishing exitoso.
- instalación oculta junto con otras aplicaciones, especialmente las utilidades que funcionan como freeware o shareware;
- enlace dudoso en correos electrónicos no deseados que conducen al instalador de virus
- recursos de alojamiento gratuitos en línea;
- usar recursos ilegales de igual a igual (P2P) para descargar software pirateado.
Hubo casos en los que el virus Neon se disfrazó como una herramienta legítima, por ejemplo, en los mensajes que solicitaban iniciar algún software no deseado o actualizaciones del navegador. Esta suele ser la forma en que algunos fraudes en línea intentan forzarlo a instalar el ransomware Neon manualmente, haciéndolo participar directamente en este proceso.
Seguramente, la alerta de actualización falsa no indicará que realmente va a inyectar el ransomware. Esta instalación se ocultará bajo alguna alerta que mencione que supuestamente debe actualizar Adobe Flash Player o algún otro programa dudoso.
Por supuesto, las aplicaciones descifradas también representan el daño. El uso de P2P es ilegal y puede resultar en la inyección de malware grave, incluido el ransomware Neon.
En resumen, ¿qué puede hacer para evitar la inyección del ransomware Neon en su dispositivo? Aunque no existe una garantía del 100% para evitar que su PC se dañe, hay ciertos consejos que quiero darle para evitar la penetración de Neon. Debe tener cuidado al instalar software gratuito hoy.
Asegúrese de leer siempre lo que ofrecen los instaladores además del programa gratuito principal. Manténgase alejado de abrir archivos adjuntos de correo electrónico dudosos. No abra archivos de destinatarios desconocidos. Por supuesto, su programa de seguridad actual debe estar siempre actualizado.
El malware no habla abiertamente de sí mismo. No se mencionará en la lista de sus programas disponibles. Sin embargo, estará enmascarado bajo algún proceso malicioso que se ejecuta regularmente en segundo plano, a partir del momento en que inicia su PC.
¿Cómo eliminar el virus Neon?
Además de codificar los archivos de una víctima, el virus Neon también comenzó a instalar Vidar Stealer en la computadora para robar credenciales de cuentas, billeteras de criptomonedas, archivos de escritorio y más. 3
Razones por las que recomendaría GridinSoft4
-
Ejecute el archivo de instalación.
-
Presione el botón “Instalar”.
-
Una vez instalado, Anti-Malware se ejecutará automáticamente.
-
Espere a que se complete.
-
Haga clic en “Limpiar ahora”.
Leave a Comment