Como eliminar el Ransomware y recuperar tus archivos.
Desde hace varios días, muchas personas me habian estado contactando para preguntarme acerca de como recuperar los archivos infectados por el Ransomware, así que decidí hacer este post para explicar como realizar el proceso y poder recuperar tus archivos. Antes que nada aclaro que no he tenido ninguna experiencia con este tipo de virus, este post es una recopilacion de los mejores post, estos son sacados de sitios reconocidos y estaran en letra cursiva, los links originales estaran en el encabezado de cada apartado. Los textos y opiniones personales estaran en esta fuente.
¿Que es el Ransomware? El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate.
¿Cómo actúa el Ransomware?
1) Se camufla dentro de otro archivo o programa apetecible para el usuario que invite a hacer click: archivos adjuntos en correos electrónicos, vídeos de páginas de dudoso origen o incluso en actualizaciones de sistemas y programas en principio fiables como Windows o Adobe Flash.
2) Una vez que ha penetrado en el ordenador, el malware se activa y provoca el bloqueo de todo el sistema operativo y lanza el mensaje de advertencia con la amenaza y el importe del “rescate” que se ha de pagar para recuperar toda la información. El mensaje puede variar en función del tipo de ransomware al que nos enfrentemos: contenido pirateado, pornografía, falso virus…
3) Para potenciar la incertidumbre y el miedo de la víctima, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de internet y hasta una fotografía captada desde la webcam.
¿Como evitar el Ransomware? Las prácticas para evitar ser infectado por este malware son comunes a las que debemos seguir para evitar otros virus.
– Mantener nuestro sistema operativo actualizado para evitar fallos de seguridad.
– Tener instalado un buen producto antivirus y mantenerlo siempre actualizado.
– No abrir correos electrónicos o archivos con remitentes desconocidos.
– Evitar navegar por páginas no seguras o con contenido no verificado.
Ransomware en Windows.
Esta guía proporciona las instrucciones y un link para descargar y utilizar la última herramienta Trend Micro Ransomware File Decryptor para intentar descifrar los archivos cifrados por ciertos tipos de ransomware.Como un recordatorio importante, la mejor protección contra el ransomware es impidiendo que nunca lleguen a su sistema. Mientras que Trend Micro está trabajando constantemente para actualizar nuestras herramientas, los programadores de ransomware están también cambiando constantemente sus métodos y tácticas, que pueden hacer que versiones anteriores de herramientas como ésta queden obsoletas con el tiempo.Se recomienda a los clientes a seguir las siguientes practicas de seguridad:
1) Asegúrate de que tienes fuera de línea o en la nube copias de seguridad periódicas de los datos más importantes y críticos.
2) Asegúrese de que siempre está aplicando las últimas actualizaciones críticas y parches para su sistema operativo y otro software del sistema de claves (por ejemplo navegadores).
3) Instalar las últimas versiones de configuraciones y aplicar las
mejores herramientas de seguridad como Trend Micro para
proporcionar seguridad mutli-capas.
Tipos de Ransomware soportados.
La siguiente tabla muestra las versiones de ransomware soportadas por esta herramienta.
| Version Ransomware | Extension del archivo encriptado |
|---|---|
| CryptXXX V1, V2, V3* | {Nombre original del archivo}.crypt, cryp1, crypz, or 5 hexadecimal characters |
| CryptXXX V4, V5 | {MD5 Hash}.5 caracteres hexadecimales |
| TeslaCrypt V1** | {Nombre original del archivo}.ECC |
| TeslaCrypt V2** | {Nombre original del archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ |
| TeslaCrypt V3 | {Nombre original del archivo}.XXX or TTT or MP3 or MICRO |
| TeslaCrypt V4 | No cambia el nombre ni extension del archivo |
| SNSLocker | {Nombre original del archivo}.RSNSLocked |
| AutoLocky | {Nombre original del archivo}.locky |
| BadBlock | {Nombre original del archivo} |
| 777 | {Nombre original del archivo}.777 |
| XORIST | {Nombre original del archivo}.xorist o random extension |
| XORBAT | {Nombre original del archivo}.crypted |
| CERBER V1 | {10 caracteres random}.cerber |
| Stampado | {Nombre original del archivo}.locked |
| Nemucod | {Nombre original del archivo}.crypted |
| Chimera | {Nombre original del archivo}.crypt |
| LECHIFFRE | {Nombre original del archivo}.LeChiffre |
| MirCop | Lock.{Nombre original del archivo} |
| Jigsaw | {Nombre original del archivo}.random extension |
| Globe/Purge | V1: {Nombre original del archivo}.purge V2: {Nombre original del archivo}.{direccion email + caracteres random} |
- Clickea el boton Download para obtener la mas reciente version de Trend Micro Ransomware File Decryptor tool. Descomprime (unzip) y luego ejecuta el RansomwareFileDecryptor.exe o el TeslacryptDecryptor.exe
Download RansomwareFileDecryptor
Download TeslacryptDecryptor
- Luego de ejecutarlo acepta la licencia para proceder.
- Despues de aceptar la licencia, sigue paso a paso lo que la herramienta te dice.
** Nota importante acerca del descifrado de archivos infectados por CryptXXX V3Debido a la encriptación avanzada de este particular
Crypto-ransomware, sólo el descifrado de datos parcial es posible en la
actualidad en los archivos afectados por CryptXXX V3.La
herramienta va a tratar de solucionar ciertos formatos de archivo
después del intento de descifrado, incluyendo DOC, DOCX, XLS, XLSX, PPT y
PPTX (comunes de Microsoft Office). El
archivo fijo tendrá el mismo nombre del archivo original con "_fixed"
añadido al nombre del archivo y será colocado en el mismo lugar. Al
abrir el archivo fijo con Microsoft Office, puede presentar un mensaje
para tratar de reparar el archivo de nuevo, y este proceso puede ser
capaz de recuperar el documento. Tenga en cuenta que debido a las diferentes versiones de
comportamientos particulares de archivos de Microsoft Office, no se
garantiza que por este método se recuperará por completo el documento.Sin embargo, para otros archivos después del descifrado de datos
parciales, los usuarios pueden tener que utilizar una herramienta de
tercera parte archivo dañado de recuperación (como el programa de código
abierto JPEGsnoop) para tratar de recuperar el archivo completo.Un
ejemplo de esto sería una foto o un archivo de imagen que se recuperó
parcialmente podra mostrar partes de la imagen, pero no toda la imagen. Un
usuario entonces podra determinar si el archivo es lo suficientemente importante
como para utilizar una herramienta de terceros o solicitar la
asistencia de un servicio de recuperación de archivos profesionalde terceros.
Imagen antes de ser infectada:
Imagen despues de la recuperacion:
Ransomware en Linux
Windows es el sistema operativo más utilizado de toda la red, por
ello la mayor parte de los desarrolladores, al igual que los piratas
informáticos, suelen lanzar sus aplicaciones para este sistema. Sin
embargo, poco a poco la cuota de mercado de Linux, especialmente en
entornos profesionales y servidores, sigue creciendo, lo que llama cada
vez más la atención de estos de cara a sacar beneficio de este sistema
operativo.
El ransomware es uno de los tipos de malware más peligrosos de los
últimos tiempos. Cuando este malware infecta a un usuario
automáticamente comienza a cifrar todos sus datos de manera que la única
forma de recuperarlos sea mediante el pago de un “rescate“, sin la
garantía de que, aunque paguemos a estos piratas, recibamos la clave de
descifrado.
Hasta ahora, este tipo de malware solo afectaba a los usuarios de
Windows, quienes además tenían bastante complicado el poder defenderse
de esta amenaza ya que es difícil de identificar y eliminar incluso por
las principales firmas antivirus, sin embargo, es posible que los
usuarios de Windows ya no sean los únicos afectados por esto.
Doctor Web, importante empresa de seguridad rusa, ha detectado la
primera amenaza de ransomware para los usuarios de Linux, especialmente
enfocado a infectar y secuestrar todos los servidores utilizados para
alojar páginas web. Esta amenaza, llamada por la empresa de seguridad
como Linux.Encoder.1, está escrita en lenguaje C y utiliza la biblioteca
PolarSSL para establecer conexiones seguras imposibles de capturar para
posteriormente instalarse como servicio, o demonio, del sistema antes
de empezar con su temida función.
¿Como funciona este Ransomware?
Una vez funcionando en el sistema, este nuevo malware analiza el
sistema de archivos en busca de todos los directorios utilizados
principalmente para el desarrollo y el alojamiento de páginas web. Una
vez los detecta empieza a cifrar todos los archivos que se encuentran
alojados allí, junto a todos los documentos, ficheros personales y
archivos multimedia que se encuentren en el ordenador o servidor. Para
el cifrado de utiliza un algoritmo AES-CBC-128.
Cuando finaliza su tarea crea un fichero de texto con las
instrucciones necesarias para recuperar los archivos, así como la
dirección de pago y la cantidad a ingresar que, en este caso, es 1
Bitcoin.
Alcanze de este Ransomware.
Los usuarios domésticos también en peligro ante este ransomware
Aunque los principales objetivos de este ransomware son los
servidores de páginas web, los usuarios no están libres de peligro.
Según afirman los expertos de seguridad, este malware puede ser portado
fácilmente para infectar y atacar a todo tipo de equipos, por ejemplo, a
dispositivos NAS que cada vez son más habituales en entornos domésticos
a modo de servidor o sistema de almacenamiento masivo en red.
Por suerte, no todo es tan sencillo como parece. Gracias al sistema
de permisos de Linux, para ejecutar este malware en un servidor o equipo
Linux es necesario que se haga con permisos de root, por lo que si
tenemos controlada la cuenta de superusuario lo más fácil es que no
podamos vernos afectados por este malware, a menos que se aproveche una
vulnerabilidad de escalada de privilegios o lo ejecutemos manualmente
con dichos permisos.
¿Como recuperar mis archivos en Linux?
Bitdefender es el primer proveedor de seguridad para liberar una herramienta de descifrado que restaura automáticamente los archivos afectados a su estado original. La herramienta determina la IV y la clave de cifrado con sólo analizar el archivo, a continuación, realiza la desencriptación, seguido de fijación permiso. Si puede arrancar el sistema operativo comprometida, descargar la secuencia de comandos y ejecutar el programa bajo el usuario root.
Para descargar la herramienta y conocer como ejecutarla, te invitamos a leer este post de BitDefender.
Hay que aclarar que despues de que tu sistema ha sido infectado por el Ransomware, lo conveniente es sacar una copia de seguridad de tus datos y formatearlo para asi estar seguros que el virus ya no esta en nuestra PC. Luego de restaurar tus datos al nuevo sistema se recomienda una examinación de los mismos con tu software antivirus.
Recomendaciones:
1) Trata de crear puntos de restauración y copias de seguridad de tus archivos al menos dos veces por semana.
2) Sea precavido cuando ejecute algun programa o script, solo hagalo si el sitio de procedencia es confiable.
3) Use un buen software Antivirus (En caso de ser usuarios de Windows), como Kaspersky, EsetNod Smart Security y Clamav (RECOMENDADO) dado que este ultimo tambien esta disponible para GNU/Linux y es de codigo abierto.
4) Use Firefox y siga las tecnicas de navegación de estos post: Como navegar de manera anonima sin ser rastreado y Privacidad y seguridad en la red.
5) Adicionalmente a las herramientas anteriormente mencionadas podemos usar estas otras herramientas que tambien tienen el mismo proposito en caso de que la anterior no nos de los resultados esperados.
* Petya
* WildFire
6) Use GNU/Linux como sistema operativo.
Con esto damos por finalizado este post, la información de este post es veridica pero puede estar sujeta a cambios. Cualquier duda o inquietud dejenla en sus comentarios. Si te ha gustado este post y te sirvió regálanos un Like en facebook y síguenos en Twitter.
GRacias por la info, pero me pide un id y un correo, cómo puedo saber estos datos? Espero que me pueda ayudar. Saludos
ResponderBorrar¿Cual metodo de recuperación estás usando?
Borrar