NLAH 

es un programa de ransomware que encripta los documentos personales

encontrados en la computadora de la víctima con la extensión ".NLAH", luego
muestra un mensaje que ofrece descifrar los datos si se realiza el pago en
Bitcoin. Las instrucciones se colocan en el escritorio de la víctima en el archivo
de texto "_readme.txt"

¿Qué es el ransomware NLAH?

NLAH es una infección de ransomware de cifrado de archivos que restringe el
acceso a los datos (documentos, imágenes, videos) cifrando archivos con la
extensión ".NLAH". Luego intenta extorsionar a las víctimas pidiéndoles un
"rescate", en forma de criptomoneda de Bitcoin, a cambio de acceso a los datos.

Este ransomware se dirige a todas las versiones de Windows, incluidos Windows

7, Windows 8 y Windows 10. Cuando llegue a nuestro ordenador se iniciará y
comenzará a escanear todas las unidades disponibles de nuestro PC en busca de
archivos de datos para encriptar.

El ransomware NLAH busca archivos con ciertas extensiones de archivos para

encriptar. Los archivos que encripta incluyen importantes documentos de
productividad y archivos como .doc, .docx, .xls, .pdf, entre otros. Cuando se
detecta estos archivos, el ransomware cambiará la extensión a ".NLAH", por lo
que ya no podrán abrirse.

El ransomware NLAH cambia el nombre de cada archivo cifrado al siguiente

formato: nombre.NLAH

Una vez que sus archivos están encriptados con la extensión ".NLAH", no puede
abrir estos archivos y este ransomware creará la nota de rescate "_readme.txt"
en cada carpeta que un archivo haya sido encriptado y en el escritorio de
Windows.
Cuando la infección haya terminado de escanear su computadora, también
eliminará todas las instantáneas de volumen que están en la computadora
afectada. Hace esto para que no pueda usar las instantáneas de volumen para
restaurar sus archivos cifrados.
¿Cómo nos hemos infectado con
el el ransomware NLAH?
El ransomware NLAH se distribuye por correo electrónico no deseado que
contiene archivos adjuntos infectados, o explotando vulnerabilidades en el
sistema operativo y los programas instalados.

El ransomware NLAH podría infectarnos nuestro ordenador:

 Los ciberdelincuentes envían un correo electrónico no deseado, con
información de encabezado falsificada, que lo engaña haciéndole creer que es de
una compañía de paquetería conocida que nos llame la atención. El correo
electrónico nos dice que intentaron entregarnos un paquete, pero fallaron por
alguna razón. A veces, los correos electrónicos afirman ser notificaciones de un
envío que hemos realizado. En el caso de que abramos este email y el archivo
adjunto, podemos infectarnos con el ransomware NLAH.
 El ransomware NLAH puede atacar explotando los programas y las
vulnerabilidades del sistema operativo, (sistema operativo en sí, los
navegadores, Microsoft Office y aplicaciones de terceros).

¿Estamos infectados con  el

ransomware NLAH?
Aquí tienes un breve resumen del ransomware NLAH:

Familia: Ransomware STOP/DJVU
Extensiones: .NLAH
Nota del rescate: _readme.txt
Rescate: Desde 490$ a 980$ (en Bitcoins)
Contacto: helpdatarestore@firemail.cc or helpmanager@mail.ch
Descripción: El ransomware encripta todos los datos almacenados en su sistema
y requiere que se pague un rescate de su parte supuestamente para recuperar
sus archivos importantes.
Síntomas: Las imágenes, videos o documentos tienen una extensión ".NLAH" y
ningún programa puede abrirlos.
Método de distribución: de correos electrónicos no deseados, archivos adjuntos
de correo electrónico

Al usuario infectado se le notificará mediante la modificación de su fondo de

pantalla, donde podrá ver el siguiente texto:
_readme.txt:

ATTENTION!

Don’t worry, you can return all your files!

 All your files like photos, databases, documents and other important are
encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique
key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for
free.
But we can decrypt only 1 file for free. File must not contain valuable
information.
You can get and look video overview decrypt tool:
https://we.tl/t-sBwlEg46JX
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that’s price for you
is $490.
Please note that you’ll never restore your data without payment.
Check your e-mail “Spam” or “Junk” folder if you don’t get answer more
than 6 hours.

To get this software you need write on our e-mail:

helpmanager@mail.ch

Reserve e-mail address to contact us:

restoremanager@firemail.cc

Your personal ID
Las víctimas del virus que pagan la multa y siguen las instrucciones del mensaje
podrían recuperar sus archivos personales y eliminar el ransomware, pero no es
aconsejable hacerlo. En lugar de esto, es aconsejable eliminar el malware
siguiendo distintos procedimientos. Pagar el rescate puede llegar a causar más
problemas a los usuarios.

¿Qué debemos hacer una vez

infectados por NLAH?
En este artículo no voy a poder ayudaros a recuperar los archivos encriptados,
sólo voy a daros algunas recomendaciones, como utilizar ShadowExplorer o
software (libre) de recuperación de archivos, para recuperar los documentos. El
artículo está escrito para ayudaros a eliminar la infección en sí, y si encuentro un
método eficiente para recuperar los archivos cifrados, actualizaré el artículo.
1. Apagar inmediatamente el equipo tras detectar la infección y aislarlo de la
red.
2. Seguir los pasos del siguiente apartado para limpiar la infección y proceder
a recuperar las Volume Shadow Copies.
3. Proceder a la restauración de las copias de seguridad.
4. Intentar recuperar los archivos con herramientas forenses.
5. Estar atentos a las actualizaciones de las páginas: https://id-
ransomware.malwarehunterteam.com/ - https://decrypter.emsisoft.com/ - htt
ps://noransom.kaspersky.com/ - https://www.avast.com/ransomware-
decryption-tools
6. Herramientas
de Kaspersky: http://support.kaspersky.com/viruses/utility.

¿Cómo podemos eliminar NLAH?

Nota: Ten en cuenta que todo el software que aconsejo usar para eliminar este
ransomware NLAH es gratuito. Estos pasos están probados y deberían eliminar
esta amenaza en los principales navegadores de Windows. Debes seguir todos los
pasos en el orden indicado para eliminar satisfactoriamente NLAH. 
Importante: Si durante el proceso de eliminación de la amenaza tienes algún
problema, por favor debes parar.

FASE 1: Eliminar el ransomware NLAH del ordenador

 PASO 1: Eliminar NLAH con MalwareBytes Anti-Malware
 PASO 2: Analizar el sistema con HitmanPro en busca de otras amenazas
FASE 2: Restaurar los archivos cifrados por el ransomware NLAH
 OPCION 1: Restaurar los archivos cifrados por el ransomware NLAH con
ShadowExplorer
 OPCION 2: Restaurar los archivos cifrados por el ransomware NLAH con
un software de recuperación de archivos

FASE 1: Eliminar NLAH con HitmanPro

Kickstart
PASO 1: Eliminar NLAH con MalwareBytes Anti-Malware

Esta es una de las mejores herramientas gratuitas para la detección de malware

que nos permite estar protegidos de las posibles infecciones de virus, gusanos,
troyanos, rootkits, dialers, spywares y malwares.
1. Primero descargaremos Malwarebytes Anti-Malware (gratuito) desde mi
sección de AntiMalware. 
2. Ejecutaremos el instalador descargado y pulsaremos Ejecutar. Nos va a mostrar la
pantalla de bienvenida donde pulsaremos Siguiente.
3. Instalaremos el programa y seguiremos cada uno de los pasos indicados sin
modificar ningún parámetro predeterminado. Cuando termine la instalación chequearemos
la opción HabiNvetud prueba gratuita de Malwarebytes Anti-Malware y Ejecutar
Malwarebytes Antimalware y luego pulsaremos Finalizar.

4. Una vez iniciado el programa va a realizar un chequeo de la base de datos y la

actualizará en el caso que esté desactualizada.

5. Una vez terminada la actualización podremos realizar un análisis del sistema para
encontrar posibles amenazas. Podemos pulsar el botón Arreglar ahora o el botón Analizar
ahora para iniciar el análisis.
6. Empezará el escaneo del ordenador y esperaremos a que termine. Durante
el proceso puede detectar algunas amenazas en nuestro ordenador.

7. Una vez terminado el análisis nos mostrará las amenazas detectadas. Para
eliminarlas clicaremos el botón Eliminar seleccionados.

8. Después de esto Malwarebytes puede pedirnos reinicar nuestro ordenador para que

tengan efecto las acciones realizadas.
9. Luego podemos ir al Historial y podemos eliminar permanentemente las amenazas
que tengamos en Cuarentena. (En mi caso todas).

10. En mi canal de Youtube pueden ver un vídeo explicativo de cómo usar el

programa Malwarebytes Anti-Malware. (Ver vídeo Malwarebytes)
11. Volver al principio de Eliminar virus NLAH.
PASO 2: Analizar el sistema con HitmanPro
en busca de otras amenazas
HitmanPro nos va a permitir escanear el sistema en busca de una segunda
opinión, diseñado para rescatar a nuestro equipo contra el malware (virus,
troyanos, rootkits, etc.) que han infectado el equipo a pesar de todas las
medidas de seguridad que ha tomado (como software antivirus, cortafuegos,
etc.).
1. Descargamos HitmanPro (lo podéis descargar desde mi sección de AntiMalware)
y lo guardamos en el escritorio. Descargaremos la versión de 32 o 64 bits dependiendo del
sistema operativo que tengamos.
2. Haremos doble clic en el archivo y veremos la pantalla de inicio, como
podemos ver en la imagen.

3. Clicaremos en el botón Next o Siguiente para instalar el programa.

Dependiendo si queremos analizar el sistema una sola vez o si queremos
mantener el programa, seleccionaremos la siguiente opción y
pulsaremos Siguiente o Next.
4. HitmanPro va a empezar a analizar el sistema un búsca de posibles
infecciones.

5. Cuando haya terminado, nos mostrará un listado con todas las infecciones
encontradas. Haremos clic en el botón Siguiente o Next, para eliminar lo que
haya detectado.

6. Si nos interesa mantener y seguir usando el programa, clicaremos en

Activate free license y usemos la prueba gratuita de 30 días.
7. En mi canal de Youtube pueden ver un vídeo explicativo de cómo usar el
programa HitmanPro (Ver vídeo HitmanPro)
8. Volver al principio de Eliminar virus NLAH.

FASE 2: Restaurar los archivos cifrados por

el ransomware NLAH

OPCION 1: Restaurar los archivos cifrados

por el ransomware NLAH con
ShadowExplorer
En algunos casos vamos a poder recuperar versiones anteriores de nuestros
archivos cifrados. Esto lo podremos hacer con funciones como la de Restaurar el
sistema o mediante programas epecíficos como ShadowExplorer.
1. Descargaremos ShadowExplorer desde su web
oficial http://www.shadowexplorer.com/downloads.html y lo instalaremos.
2. Una vez instalado realizaremos un doble clic en el icono del escritorio.

3. Una vez en el programa podremos ver en el desplegable las distintos

puntos donde se han realizado las copias. Escogeremos uno donde estén los
archivos correctamente.
4. Buscaremos los archivos o las carpetas que deseemos recuperar, lo
seleccionaremos, pulsaremos el botón derecho y le diremos Export.

5. Escogeremos la carpeta donde queremos recuperar los archivos o carpetas.

En el caso de que exista nos pedirá si la queremos sobreescribir.

6. Repetiremos la operativa tantas veces como queramos hasta recuperar

todos los archivos o carpetas que nos interese.
7. Volver al principio de Eliminar virus NLAH.
OPCION 2: Restaurar los archivos cifrados por el
ransomware NLAH con un software de recuperación de
archivos

Cuando NLAH cifra un archivo le hace una copia, encripta esta copia y elimina el

original. Es por esto que podemos usar programas de recuperación de archivos.
1. Descargaremos la version gratuita de Recuva desde su web
oficial https://www.piriform.com/recuva y lo instalaremos.
2. Una vez instalado realizaremos un doble clic en el icono del escritorio.

3. Al ejecutarlo por primera vez, vamos a seguir su asistente y

pulsaremos Siguiente.

4. Nos va a aparecer una pantalla donde seleccionaremos que tipo de

archivos queremos recuperar. Luego pulsaremos Siguiente y continuamos hasta
que empiece a buscar.
5. Cuando termine nos mostrará una pantalla con los resultados de búsqueda
y seleccionaremos los archivos que queramos recuperar y pulsaremos el
botón Recuperar. 

6. Nos va a pedir donde queremos guardar los archivos a recuperar,

seleccionaremos la carpeta y aceptaremos. 
7. Al finalizar mostrará un mensaje con la información de los archivos
recuperados.

8. Volver al principio de Eliminar virus NLAH.