Cómo eliminar el software de rescate HEROSET (Guía de eliminación de virus)

Si sus imágenes, documentos o archivos están cifrados con la extensión Heroset , el equipo está infectado con el software de rescate STOP (DJVU) .

El programa de rescate STOP (DJVU) cifra los documentos personales encontrados en el ordenador de la víctima y muestra un mensaje que ofrece descifrar los datos si se realiza el pago en Bitcoin. Las instrucciones se colocan en el escritorio de las víctimas en el archivo _readme.txt .

Imagen: Heroset ransomware

Si sus archivos fueron encriptados usando una clave fuera de línea (¿Cómo sé si estaba infectado con una clave fuera de línea?) existe la posibilidad de que pueda recuperar sus archivos usando la herramienta de descifrado STOPDecrypter de Michael Gillespie. Desafortunadamente, en la mayoría de los casos, no es posible recuperar los archivos cifrados por este software de rescate porque la clave privada que se necesita para desbloquear los archivos cifrados sólo está disponible a través de los ciberdelincuentes.

También puede intentar buscar en los siguientes sitios actualizaciones sobre una herramienta de descifrado:

  • https://id-ransomware.malwarehunterteam.com/
  • https://www.nomoreransom.org/en/index.html
  • https://decrypter.emsisoft.com/
  • https://noransom.kaspersky.com/
  • https://www.avast.com/ransomware-decryption-tools

Esta guía fue escrita para ayudarle a eliminar la infección de su equipo, y si se encuentra un método 100% probado para recuperar los archivos cifrados, actualizaremos esta guía.

No podemos ayudarle a recuperar sus archivos y sólo podemos recomendarle que utilice ShadowExplorer o software gratuito de recuperación de archivos para restaurar sus documentos.

  • 1. ¿Cómo llegó el software de rescate de Heroset a mi computadora?
  • 2. ¿Qué es Heroset ransomware?
  • 3. ¿Mi ordenador está infectado con la extensión Heroset?
  • 4. ¿Es posible descifrar archivos cifrados por Heroset ransomware?
  • 5. Cómo quitar el Heroset ransomware (Guía de eliminación de virus)
  • 6. Cómo evitar que su equipo se infecte con Heroset ransomware

1. ¿Cómo llegó el software de rescate de Heroset a mi computadora?

El Heroset ransomware se distribuye a través de correo electrónico no deseado que contiene archivos adjuntos infectados o explotando vulnerabilidades en el sistema operativo y el software instalado.

Los ciberdelincuentes envían un correo electrónico con información de encabezado falsificada, haciéndole creer que es de una compañía naviera como DHL o FedEx. El correo electrónico le dice que intentaron entregarle un paquete, pero no lo lograron por alguna razón. A veces los correos electrónicos dicen ser notificaciones de un envío que usted ha hecho. De cualquier manera, no puedes resistir la curiosidad de saber a qué se refiere el correo electrónico y abrir el archivo adjunto (o hacer clic en un enlace incluido en el correo electrónico). Y con eso, tu ordenador está infectado con el software de rescate de Heroset.

También se observó que Heroset ransomware atacaba a las víctimas pirateando puertos abiertos de Remote Desktop Services (RDP). Los atacantes analizan los sistemas que ejecutan RDP (puerto TCP 3389) y luego intentan forzar la contraseña para los sistemas.

2. ¿Qué es Heroset ransomware?

  • Familia Ransomware : STOP (DJVU) ransomware
  • Extensiones : Heroset
  • Nota de Ransomware : _readme.txt
  • Ransom : De $490 a $980 (en Bitcoins)
  • Contacto : gorentos@bitmessage.ch, stoneland@firemail.cc, o @datarestore en Telegram

El Heroset ransomware restringe el acceso a los datos mediante la encriptación de archivos. Luego intenta extorsionar a las víctimas pidiéndoles «rescate», en forma de criptocurrency Bitcoin, a cambio de acceso a los datos. Este software de rescate está dirigido a todas las versiones de Windows, incluyendo Windows 7, Windows 8 y Windows 10. Cuando este software de rescate se instala por primera vez en su ordenador, creará un ejecutable de nombre aleatorio en la carpeta %AppData% o %LocalAppData%. Este ejecutable se iniciará y comenzará a escanear todas las letras de unidad de su ordenador para que los archivos de datos se cifren.

Heroset ransomware busca archivos con ciertas extensiones de archivo para encriptar. Los archivos que encripta incluyen importantes documentos de productividad y archivos como.doc,.docx,.xls,.pdf, entre otros. Cuando se detectan estos archivos, esta infección cambiará la extensión a Heroset , por lo que ya no se pueden abrir.

Los archivos objetivo son los que se encuentran comúnmente en la mayoría de los PCs de hoy en día; se incluye una lista de extensiones de archivos para los archivos objetivo:

.sql, .mp4,.7z,.rar,.m4a,.wma,.avi,.wmv,.csv,.d3dbsp,.zip,.sie,.sum,.ibank,.t13,.t12,.qdf,.gdb,.tax,.pkpass,.bc6,.bc7,.bkp,.qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,.apk,.re4,.sav,.lbf,.slm,.bik,.epk,.rgss3a,.pak,.big, wallet,.wotreplay,.xxx,.desc,.py,.m3u,.flv,.js,.css,.rb,.png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk,.xlsb,.xlsm,.xlsx,.xlsx,.xls,.wps,.docm,.docx,.doc,.doc, .odb,.odc,.odm,.odp,.ods,.odt

Una vez que los archivos estén cifrados con la extensión Heroset , este software de rescate creará la nota de rescate de archivo _readme.txt en cada carpeta en la que se haya cifrado un archivo y en el escritorio de Windows. Estos archivos se encuentran en todas las carpetas en las que se cifró un archivo y contienen información sobre cómo ponerse en contacto con los ciberdelincuentes y recuperar sus archivos.

Cuando la infección haya terminado de escanear el equipo, también eliminará todas las copias del volumen de sombra que se encuentren en el equipo afectado. Lo hace para que no pueda utilizar las copias del volumen sombra para restaurar sus archivos cifrados.

3. ¿Mi ordenador está infectado con Heroset Ransomware?

Cuando este software de rescate infecta su ordenador, escaneará todas las letras de unidad en busca de tipos de archivos específicos, los cifrará y, a continuación, les añadirá la extensión Heroset. Una vez que estos archivos estén encriptados, ya no podrán ser abiertos por sus programas normales. Cuando este software de rescate haya terminado de encriptar los archivos de la víctima, también mostrará una nota de rescate que incluye instrucciones sobre cómo ponerse en contacto con estos ciberdelincuentes (gorentos@bitmessage.ch o stoneland@firemail.cc).

Este es el mensaje que mostrará el Heroset ransomware (_readme.txt):

ATENCIÓN!

No te preocupes amigo, puedes devolver todos tus archivos!
Todos sus archivos como fotos, bases de datos, documentos y otros importantes están encriptados con el cifrado más potente y una clave única.
El único método de recuperar archivos es comprar la herramienta de descifrado y la clave única para usted.
Este software descifrará todos sus archivos cifrados.
¿Qué garantías tienes?
Usted puede enviar uno de sus archivos encriptados desde su PC y nosotros lo desciframos gratis.

Pero sólo podemos descifrar 1 archivo gratis. El archivo no debe contener información valiosa.
Usted puede conseguir y mirar la herramienta de descifrado de la descripción general de vídeo:
https://we.tl/t-oEUEuysYiZ
El precio de la clave privada y el software de descifrado es de $980.
Descuento del 50% disponible si se pone en contacto con nosotros las primeras 72 horas, el precio para usted es de $490.
Tenga en cuenta que nunca restaurará sus datos sin pago.
Compruebe la carpeta «Spam» o «Junk» de su correo electrónico si no recibe respuesta durante más de 6 horas.

Para obtener este software necesita escribir en nuestro correo electrónico:
stoneland@firemail.cc

Reserve su dirección de correo electrónico para ponerse en contacto con nosotros:
gorentos@bitmessage.ch

Cuenta de Telegrama de Soporte:
@datarestore

Su identificación personal:

4. ¿Es posible descifrar archivos cifrados con el software de rescate de Heroset?

Si su archivo fue encriptado usando una clave fuera de línea (¿Cómo sé si estaba infectado con una clave fuera de línea?) existe la posibilidad de que pueda recuperar sus archivos usando la herramienta de descifrado STOPDecrypter.

Desafortunadamente, en la mayoría de los casos, no es posible recuperar los archivos cifrados por este software de rescate porque la clave privada que se necesita para desbloquear el archivo cifrado sólo está disponible a través de los ciberdelincuentes.

No hay garantía de que si usted paga el rescate sus archivos serán recuperados, además, esto animará a estos chicos malos a continuar e incluso a expandir sus operaciones. Recomendamos encarecidamente que no pague el rescate y que en su lugar se dirija a la agencia policial de su país para denunciar este ataque.

5. Cómo quitar el Heroset ransomware (Guía de eliminación de virus)

Es importante que comprenda que al iniciar el proceso de eliminación corre el riesgo de perder sus archivos, ya que no podemos garantizar que pueda recuperarlos. Malwarebytes y HitmanPro pueden detectar y eliminar esta infección, sin embargo, estos programas no pueden recuperar sus documentos, imágenes o archivos. Es posible que sus archivos estén permanentemente comprometidos al intentar eliminar esta infección o al intentar recuperar los documentos cifrados. No nos hacemos responsables de la pérdida de sus archivos o documentos durante este proceso de eliminación.

PASO 1: Usar Malwarebytes para eliminar Heroset ransomware

Malwarebytes es uno de los programas anti-malware más populares y usados para Windows, y por buenas razones. Es capaz de destruir muchos tipos de malware que otro software tiende a pasar por alto, sin que le cueste absolutamente nada. Cuando se trata de limpiar un dispositivo infectado, Malwarebytes siempre ha sido gratuito y lo recomendamos como una herramienta esencial en la lucha contra el malware.

La primera vez que instale Malwarebytes, recibirá una versión de prueba gratuita de 14 días de la edición premium, que incluye herramientas preventivas como análisis en tiempo real y protección específica contra el software de rescate. Después de dos semanas, vuelve automáticamente a la versión básica gratuita que detectará y limpiará las infecciones de malware sólo cuando realice un análisis. Es importante tener en cuenta que Malwarebytes se ejecutará junto con el software antivirus sin conflictos.

  1. Descargar Malwarebytes.

    Puede descargar Malwarebytes haciendo clic en el siguiente enlace.

    MALWAREBYTES DOWNLOAD LINK (El enlace de arriba abre una nueva página desde donde puedes descargar Malwarebytes)

  2. Haga doble clic en el archivo de instalación de Malwarebytes.

    Cuando Malwarebytes haya terminado de descargar, haga doble clic en el archivo mb3-setup-consumer-x.x.x.x.xxxx.exe para instalar Malwarebytes en su PC. En la mayoría de los casos, los archivos descargados se guardan en la carpeta Descargas .

    Es posible que se le presente una ventana emergente Control de cuentas de usuario que le pregunte si desea permitir que Malwarebytes realice cambios en su dispositivo. Si esto ocurre, haga clic en » » para continuar con la instalación »

  3. Sigue las instrucciones en pantalla para instalar Malwarebytes.

    Cuando la instalación de Malwarebytes comience, verá el Asistente de instalación de Malwarebytes que le guiará a través del proceso de instalación. Para instalar Malwarebytes en su PC, haga clic en el botón » Aceptar e instalar »

  4. Haga clic en «Escanear ahora».

    Una vez instalado, Malwarebytes iniciará y actualizará automáticamente la base de datos del antivirus. Para realizar un análisis del sistema, haga clic en el botón » Examinar ahora »

  5. Espere a que se complete el escaneo de Malwarebytes.

    Malwarebytes ahora comenzará a escanear su ordenador en busca de adware y otros programas maliciosos. Este proceso puede tardar unos minutos, por lo que le sugerimos que haga otra cosa y que compruebe periódicamente el estado del escaneado para ver cuándo ha finalizado

    .

  6. Haga clic en «Cuarentena seleccionada».

    Cuando el análisis haya finalizado, se le mostrará una pantalla que muestra las infecciones de malware que Malwarebytes ha detectado. Para eliminar los programas maliciosos que Malwarebytes ha encontrado, haga clic en el botón » Cuarentena seleccionada »

  7. Reinicie su computadora.

    Malwarebytes ahora eliminará todos los archivos maliciosos y las claves de registro que ha encontrado. Para completar el proceso de eliminación de malware, Malwarebytes puede pedirle que reinicie su ordenador .
    Cuando el proceso de eliminación de malware haya finalizado, puede cerrar Malwarebytes y continuar con el resto de las instrucciones.

PASO 2: Use HitmanPro para buscar malware y programas no deseados

HitmanPro es un escáner de segunda opinión que adopta un enfoque único basado en la nube para el escaneado de malware. HitmanPro analiza el comportamiento de los archivos activos y también los archivos en ubicaciones donde el malware normalmente reside en busca de actividades sospechosas. Si encuentra un archivo sospechoso que aún no se conoce, HitmanPro lo envía a sus nubes para ser analizado por dos de los mejores motores antivirus de la actualidad, que son Bitdefender y Kaspersky.

Aunque HitmanPro es shareware y cuesta $24.95 por 1 año en 1 PC, en realidad no hay límite en el escaneo. La limitación sólo se activa cuando hay una necesidad de eliminar o poner en cuarentena el malware detectado por HitmanPro en su sistema y para entonces, puede activar la prueba de 30 días para permitir la limpieza.

  1. Descargar HitmanPro.

    Puede descargar HitmanPro haciendo clic en el enlace de abajo.

    HITMANPRO DOWNLOAD LINK (El enlace de arriba abrirá una nueva página web desde donde puede descargar HitmanPro)

  2. Instale HitmanPro.

    Cuando HitmanPro haya terminado de descargar, haga doble clic en «hitmanpro.exe» (para versiones de 32 bits de Windows) o «hitmanpro_x64.exe» (para versiones de 64 bits de Windows) para instalar este programa en su PC. En la mayoría de los casos, los archivos descargados se guardan en la carpeta Descargas .


    Es posible que se le presente una ventana emergente Control de cuentas de usuario que le pregunte si desea permitir que HitmanPro realice cambios en su dispositivo. Si esto ocurre, haga clic en » Yes » para continuar con la instalación.

  3. Siga las instrucciones en pantalla.

    Cuando HitmanPro se inicie, se le presentará la pantalla de inicio como se muestra a continuación. Haga clic en el botón » Next » para realizar un análisis del sistema.

  4. Espere a que se complete el escaneo de HitmanPro.

    HitmanPro ahora comenzará a escanear su ordenador en busca de programas maliciosos. Este proceso tomará unos minutos

  5. Haga clic en «Siguiente».

    Cuando HitmanPro haya terminado el escaneo, mostrará una lista de todo el malware que el programa ha encontrado. Haga clic en el botón » Siguiente » para eliminar los programas maliciosos

  6. Haga clic en «Activar licencia libre».

    Haga clic en el botón » Activar licencia libre » para iniciar la prueba gratuita de 30 días y eliminar todos los archivos maliciosos de su PC.
    Una vez finalizado el proceso, puede cerrar HitmanPro y continuar con el resto de las instrucciones.

PASO 3: Restaurar los archivos cifrados por Heroset ransomware con software de recuperación

En algunos casos, puede ser posible recuperar versiones anteriores de los archivos cifrados utilizando Heroset Restore u otro software de recuperación utilizado para obtener «copias en sombra» de los archivos.

Opción 1: Restaure sus archivos cifrados por Heroset ransomware con ShadowExplorer

El Heroset ransomware intentará eliminar todas las copias en sombra cuando inicie cualquier ejecutable en su ordenador después de infectarse. Afortunadamente, la infección no siempre es capaz de eliminar las copias en sombra, por lo que debe seguir intentando restaurar los archivos con este método.

  1. Puede descargar ShadowExplorer desde el siguiente enlace: SHADOW EXPLORER DOWNLOAD LINK (Este enlace abrirá una nueva página web desde la que podrá descargar «ShadowExplorer»)
  2. Una vez que haya descargado e instalado ShadowExplorer, puede seguir la siguiente guía en vídeo sobre cómo restaurar sus archivos mientras utiliza este programa.

Opción 2: Restaure sus archivos cifrados con la extensión Heroset con el Software de Recuperación de Archivos

Cuando los archivos están encriptados, este software de rescate primero hace una copia de ellos, encripta la copia y luego elimina el original. Debido a esto, puede haber una pequeña posibilidad de que podamos utilizar el software de recuperación de archivos para restaurar los archivos eliminados.

  • Recuva
    Puedes seguir la siguiente guía sobre cómo usar Recuva:
  • Asistente de recuperación de datos de EaseUS gratis
  • R-Studio

Cómo evitar que su equipo se infecte con Heroset ransomware

Para proteger su computadora del software de rescate de Heroset, siempre debe tener un antivirus instalado en su computadora y siempre debe tener una copia de seguridad de sus documentos personales. Como método de protección adicional, puede utilizar programas llamados HitmanPro.Alert que evitarán que se ejecute cualquier malware con cifrado de archivos.

Su ordenador debería estar libre de la infección de Heroset ransomware. Si sigue teniendo problemas al intentar eliminar el software de rescate de Heroset de su equipo, realice una de las siguientes acciones:

  • Ejecutar un escaneo con Emsisoft Emergency Kit
  • Pida ayuda en nuestro foro Asistencia para la eliminación de malware .

COMPARTIR ESTE ARTÍCULO