El ransomware es un software malintencionado que secuestra los datos de los equipos informáticos y dispositivos. A día de hoy es raro el día en el que no se produzcan noticias de que alguna empresa, organización o gobierno ha sido victima de un ataque con ransomware. Ser víctima de este tipo de amenazas es fácil, principalmente porque aprovechan el desconocimiento de los usuarios a los que les llega un mensaje de correo electrónico, notificación o archivo por algún medio de mensajería, e incluso al acceder a sitios Web que hayan sido hackeados para aprovechar la visita de los usuarios para llevar a cabo su función. Para evitar la infección por ransomware es muy importante mantener el sistema operativo y las aplicaciones actualizado a las últimas versiones ya que muchos de los programas malintencionados usan las vulnerabilidades que no han sido solucionadas por no actualizar.
La función principal que hace el ransomware es el secuestro de datos, de ahí proviene su nombre «ransom» (secuestro), procediendo a cifrar los datos y archivos principales de los sistemas, tras el cifrado o limitación de acceso a los datos, el ransomware solicita un pago para liberar y descifrar estos datos. No se debe pagar por ello, ya que no asegura al usuario que se lleve a cabo el descifrado de los datos y con ello su recuperación.
Algunos ransomware lo único que hacen es bloquear el acceso a los datos de los equipos sin llegar a cifrarlos, para solventar este tipo de ataque podemos usar un antivirus o recuperar el estado anterior del sistema.
A parte de las principales medidas de prevención ante las aplicaciones maliciosas y mantener nuestros sistemas y aplicaciones actualizados debemos usarlos con sentido común. Es decir, no descargar o abrir cualquier archivo, no acceder a sitios Web que no estemos seguros…
Es muy importante también realizar copias de seguridad periódicas de los datos que tenemos en nuestros dispositivos y equipos, ya que si somos afectados por un ransomware es difícil recuperarlos. Con la copia de seguridad realizada en otro dispositivo externo como puede ser en discos duros, NAS, almacenamiento en la nube… podremos volver a tener nuestros datos una vez solventado el problema de seguridad. Pero hay que tener en cuenta que las copias de seguridad no deben estar guardadas en equipos y/o dispositivos que estén conectados al resto, en red o por USB, ya que podrían ser afectados por el ransomware igualmente.
Hay aplicaciones como los propios antivirus, almacenamiento en la nube e incluso sistemas operativos que avisan de que podemos ser víctimas de un ransomware.
¿Qué hacer si tengo un ransomware?
Las pautas a realizar inmediatamente si detectamos ser víctimas de un ransomware son:
- Desconectar el equipo afectado de la red, así podremos evitar que este propague el software malintencionado a otros equipos.
- Clonar el/los discos duros del equipo afectado antes de proceder a la recuperación de los datos que han sido afectados. Puede que no puedas recuperarlos pero existen herramientas actualmente y que en el futuro puedan ayudarte a descifrar los datos afectados.
- Usar el disco duro clonado para realizar el proceso de desinfección y recuperación, así no tocamos los datos originales.
- Visitar el sitio Web NoMoreRansom de EuroPol para comprobar cual ha sido el ransomware que nos ha afectado. En este sitio Web acceder al apartado Crypto Sheriff donde podremos proceder a enviar archivos para intentar averiguar el ransomware que ha cifrado los datos. Si existe solución te indicará con qué herramienta realizar el descifrado de los datos.
Antes de proceder al descifrado o recuperación de los datos hay que estar seguros de haber eliminado el software malintencionado o ransomware que ha provocado el problema para evitar que vuelva a suceder.
¿Qué herramientas hay disponibles para recuperar los datos?
Las herramientas para recuperar los datos no siempre son efectivas, ya que no siempre estas tienen las claves de descifrado. Los desarrolladores de los ransomware van evolucionando sus aplicaciones malintencionadas de modo que las claves no siempre son las mismas. Si con las herramientas actuales no consigues descrifrar tus datos, puedes volver a probar tras un tiempo, ya que las herramientas de descifrado se van actualizando.
Es importante llevar a cabo una desinfección del sistema o sistemas que hayan sido afectados antes de realizar la recuperación de los datos.
NoMoreRansom
El sitio Web NoMoreRansom se listan herramientas de descifrado, pero se debe averiguar primeramente cual ha sido el ransomware, para ello como hemos indicado anteriormente, hay que usar Crypto Sheriff.
NoRansom de Kaspersky
También está disponible el sitio Web NoRansom de Kaspersky donde puedes encontrar descifradores y herramientas para eliminar el ransomware.
¿Cómo eliminar el ransomware?
La eliminación del ransomware es compleja ya que este tipo de software malintencionado está diseñado para que el usuario no pueda eliminarlo fácilmente. A parte de las herramientas de descifrado, existen herramientas para la eliminación de ransomware, la mayoría de los antivirus del mercado cuentan con la función de búsqueda y eliminación de ransomware. Incluso Windows Defender, el antivirus incluido en el sistema operativo Windows permite quitar el ransomware, pero no siempre es la solución definitiva. Hay situaciones que es necesario eliminar e instalar nuevamente los sistemas operativos y aplicaciones, lo que coloquialmente se conoce como «formatear».
Windows permite también restablecer los dispositivos a estados anteriores, de modo que podemos restablecer a un estado anterior al momento en que el sistema ha sido afectado por el ransomware.
Una de las principales herramientas para la eliminación de ransomware es MalwareBytes. Si quieres eliminar y verificar que el ransomware ha sido eliminado sigue estos pasos:
- Inicia tu Windows en modo seguro con funciones de red.
- Descarga y ejecuta Malwarebytes para realizar un chequeo de tu sistema.
- Chequea tu equipo con ESET’s Free Online Scanner.
- Chequea tu equipo con las herramientas HitmanPro y Emsisoft Emergency Kit.
Una vez hayas eliminado el ransomware de tu sistema deberás comprobar cual ha sido el que ha cifrado tus datos para intentar dessencriptar con las herramientas mencionadas anteriormente para la recuperación de los archivos.