23 Feb ¿Que hacer si mi equipo está infectado con rasomware?
La importancia de reaccionar rápido
Los virus actuales mas peligrosos se caracterizan por encriptar tu información y pedir a cambio importantes sumas de dinero para supuestamente devolverte tus ficheros.
Este tipo de amenaza se denomina Rasomware, porque realmente lo que hacen es «secuestrar» tus datos y pedir un rescate a cambio.
El Rasomware actúa rápido y quizás cuando te des cuenta de que estás infectado ya sea tarde y todos tus ficheros estén afectados, pero tiene un tiempo de reacción, en el que podemos controlar la amenaza a tiempo.
En cuanto detectes la amenaza:
- Apaga el equipo de la forma mas inmediata posible, incluso si es necesario y ves que funciona extremadamente lento, desconéctalo de la corriente.
- No intentes arrancarlo de nuevo, no te permitirá instalar ningún antivirus y lo mas probable es que si tuvieras alguno ya esté desactivado.
- Si no tienes los conocimientos avanzados como para crear un disco de arranque, lo ideal es que contactes con un servicio técnico especializado.
Trabaja siempre con copia de respaldo
Como siempre que trabajamos con datos delicados, lo ideal es sacar el disco duro afectado del equipo, y realizar en otro sistema una imagen completa (bit a bit) del estado actual del disco. Así nos aseguramos poder volver al estado inicial en caso de tener problemas.
IMPORTANTE: Nunca debes pagar el rescate
Nada te garantiza que te den la clave si pagas.
Casi nunca lo hacen, o simplemente al verte desesperado te pedirán aun mas dinero.
Los autores casi nunca pueden ser localizados, y además fomentas este tipo de malware
Software de eliminación de amenazas
Una vez realizada la imagen, y siempre con el disco conectado como externo a un equipo bien protegido, podemos ejecutar herramientas antivirus y antimalware para, primero de todo, eliminar el código del virus del sistema operativo.
Desde Tech1 recomendamos siempre que esta tarea la realice un profesional, pero si tienes los conocimientos necesarios te recomendamos el siguiente software:
- Malwarebytes Antimalware
- SecurityAnywere Webroot.
- Kaspersky Rasomware tools
Una vez eliminado el código malicioso, podemos intentar arrancar el equipo con el disco duro ya instalado, usando primero un disco de rescate tipo WindowsPE o Linux, para poder evaluar los daños, y buscar posibles entradas en el registro, en los ficheros temporales o en el inicio de windows. Lo ideal sería usar un disco de arranque antimalware o antivirus de los varios que hay disponibles en la web:
- Kaspersky Boot CD
- Bitdefender Boot CD (Imagen)
- TrendMicro Rescue Disk
Habiéndonos asegurado de que nuestro equipo no iniciará Windows con el payload (el ejecutable) del virus, podemos iniciar el sistema, idealmente en modo a prueba de fallos con soporte para red, y probar las herramientas de desencriptado disponibles. Si tienes un poco de suerte y el rasomware que te ha infectado es algo antiguo, quizás recuperes los datos de forma sencilla.
Si no hay suerte con el desencriptado
Si el rasomware es reciente, lo mas probable es que no se haya hecho pública todavía la clave necesaria para desencriptarlo. Llegados a este punto tenemos tres opciones:
- Intentar restaurar versiones anteriores de nuestros ficheros: Windows, si hemos activado Restaurar Sistema previamente, dispone de una herramienta para recuperar nuestros datos tal como estaban en fechas anteriores llamada Historial de Archivos.
La utilidad de Windows para restaurar se usa haciendo click con el botón derecho sobre la carpeta o fichero que queremos recuperar:
También hay disponible una herramienta gratuita mucho mas flexible y fácil de utilizar: ShadowExplorer
Si tenías activado Restaurar sistema, y el virus no ha tenido tiempo de borrar el historial de ficheros (por eso insistimos en ser «rápidos»), puede que recuperes todos los datos perdidos sin mucho problema, quizás algo desactualizados, en caso de que trabajaras en ellos recientemente.
- Recuperar un backup previo si disponíamos de él. Nunca nos cansamos de repetir ¡BACKUP!, diario a ser posible. Hay herramientas gratuitas que lo realizan automáticamente e incluso generan discos de inicio para recuperar el sistema a un estado anterior: Por ejemplo Reflect de Macrium
Tener una copia de seguridad no solo nos protege contra virus, también de fallos de hardware, borrados accidentales, robos… - Guardar los archivos encriptados para intentar recuperarlos mas adelante: Si todo ha fallado, y los datos no son extremadamente urgentes, siempre puedes guardar la imagen del disco. Al cabo de unos meses los rasomware se vuelven «antiguos» y sus creadores liberan la clave o las empresas antivirus la consiguen. Hay la posibilidad de que tus datos no estén perdidos para siempre, guárdalos y se paciente.
¿Se pueden desencriptar los datos sin la clave?
No, es prácticamente imposible. Las claves que usan son códigos alfanuméricos muy largos, con tecnología de par de claves (parecido a lo que se usa para encriptar las webs y los correos por SSL) y son muy seguras. Tardarías bastantes mas años en recuperar la información de lo que tardará en liberarse la clave.
Por último, siempre podemos acudir a un servicio profesional de recuperación de datos o especializadas en rasomware como Tech1. Disponemos de programas de recuperación de datos para analizar el disco duro en busca de ficheros borrados y recuperables, y como nosotros muchos de ellos no cobran por dar un presupuesto con la lista de ficheros con posibilidad de recuperación.
Contáctenos sin compromiso y evaluaremos su caso gratuitamente. Puede hacerlo mediante el formulario de contacto bajo estas lineas, o hablando en directo con uno de nuestros técnicos mediante el chat.
No hay Comentarios