VirLocker (conocido como VirLock y  VirRansom) es una pieza de ransomware de bloqueo de equipos que ha existido desde hace tiempo. En realidad, es una sorpresa que no se haya esparcido a gran escala, ya que puede "saltar" de una máquina a otra sin que las víctimas actuales y potenciales tengan conocimiento. Pero, según el experto anti ransomware de Malwarebytes, Nathan Scott, ahora ha hecho un regreso notable.

VirLocker es ransomware polimórfico que se reproduce a sí mismo y se añade en secreto a un gran número de archivos en la computadora de una víctima. Cifra diferentes tipos de archivos, además los "infecta" añadiendo su código a estos nuevos archivos cifrados y los envuelve en un shell EXE (la extensión .exe no es visible).

"Imagina que tienes esta infección y piensas que es solo un bloqueo de pantalla como de los que has oído hablar. De alguna manera te las arreglas para eliminar la infección y piensas que estás limpio. Debido a que las extensiones están desactivadas, no notas que cada archivo en el equipo tiene ahora una extensión .exe agregada a ella detrás de su extensión original. Envías tu curriculum vitae a una compañía para la cual estás aplicando y en poco tiempo el negocio entero está infectado," Scott explica.

Solo se necesita abrir un archivo de este tipo para comenzar la cadena de infección.

"Debido a que cada archivo que VirLocker toca se convierte en VirLocker, muchos usuarios enviarán accidentalmente una versión infectada de un archivo a sus amigos y colegas, las copias de seguridad se infectarán e incluso las aplicaciones y los EXE no serán seguros. Básicamente, cuando se infectan con VirLocker, ya no se puede confiar en un solo archivo que está en la máquina afectada", señaló el analista de malware.

Recuperar los archivos

Las herramientas de descifrado para las versiones anteriores del ransomware han sido creadas y ofrecidas por investigadores de ESET y Sophos, pero esta última versión es aún más fácil de solventar: basta con introducir una cadena de longitud 64 (por ejemplo, 64 ceros) en el cuadro de texto de la nota de bloqueo de pantalla, hacer clic en el botón "Pay Fine" (“pagar multa”) y el malware creerá que se ha pagado la cantidad correcta. La nota desaparecerá y la apertura de cualquiera de los archivos infectados extraerá el archivo original.

Probablemente abrir todos los archivos que han sido infectados, uno por uno, será una tarea que consume mucho tiempo, pero al menos puede guardar los que son más importantes (y no ha copiado).

Una vez obtenidos todos los archivos, inserte una memoria USB en la computadora y transfiéralos hacia el dispositivo, Scott mencionó, pero advierte que se debe tener cuidado para no cometer que al transferir alguno de los archivos EXE infectados en la memoria se haga clic en uno, ya que al abrir cualquiera de ellos se reiniciará la cadena de infección.

Después de remover la USB, el equipo estará listo para formatear/limpiar y configurarlo desde cero. Esa es la única manera de asegurarse de que ha eliminado cada archivo infectado de él y no se infectará a nadie más con él.