Puede visitar esta página para conocer las herramientas disponibles para identificar el ransomware.
Así podrá saber si efectivamente es un ransomware y si existe una solución para desencriptar sus archivos sin pagar el rescate.
No se recomienda el uso de programas en discos o arreglos RAID afectados por ransomware, pues es muy fácil destruir los datos por sobrescritura.
Al haber sectores dañados el problema empeora si no se detecta, y en todo caso el análisis debe hacerse con equipo especial, siguiendo estrictamente un plan de acción diseñado para estos casos.
Aplicar uno o varios antivirus al equipo afectado ocasiona sobrescritura y destruye las posibilidades de ejecutar alguna solución que se pudiera presentar en el futuro.
Instalar un antivirus en el mismo equipo infectado es un error, pues el sistema tiene comprometida su seguridad y el antivirus no funcionará correctamente.
Además, en el mejor de los casos, un antivirus actualizado y correctamente aplicado podría eliminar el virus, pero no puede desencriptar los datos porque esa no es su función.
Ningún programa de recuperación de datos sirve para desencriptar archivos.
El escaneo utiliza intensivamente las particiones montadas al hacer crecer el archivo de intercambio, lo que tiene como efecto secundario la sobrescritura masiva de áreas del disco que podrían haber contenido datos utilizables.
Desafortunadamente ya es muy raro que funcionen los shadow copies, y los puntos de restauración del sistema no incluyen restaurar el estado de la información a una versión previa.
Los programadores del ransomware saben de la existencia de estos sistemas de respaldo y ahora es común que el propio ransomware destruya o dañe archivos que podrían servir para analizar su código, dificultando la búsqueda de la solución.
Los programas para desencriptar utilizan ataques de fuerza bruta, o lo que es lo mismo, tratan de «adivinar» un password introduciendo una gran cantidad de combinaciones de letras, numero o símbolos.
La fortaleza del cifrado se mide en bits, y 64 bits es una protección que no se puede romper con ataques de fuerza bruta.
El ransomware común utiliza un primer cifrado de 2,048 bits, después comprime la información, y por último vuelve a cifrar a 2,048 bits con un algoritmo distinto.
No hay poder de cómputo suficiente en el mundo para romper una llave de esa envergadura.
Hacer una «imagen» o «clon» de los discos y de todo lo relacionado con el incidente incluyendo archivos encriptados, notas de rescate, entradas de registro, archivos temporales y de sistema es vital, pues pueden contener información que será necesaria si una solución es desarrollada alguna vez.
No se conoce de archivos encriptados que contengan código malicioso por lo que su almacenamiento se considera seguro.
Es conveniente inscribirse en los foros de la compañías antivirus, pues cuando se encuentra alguna solución se avisa a los suscriptores por ese medio.
Algunas victimas han reportado que después de pagar el rescate han tenido éxito al desencriptar sus datos.
Otros han reportado que después de pagar, no han recibido respuesta, mientras otros han dicho que la llave y el programa para desencriptar tienen errores y no han funcionado.
Otros más han descubierto que los criminales quieren más dinero o les han amenazado con exponer los datos a menos que hagan pagos adicionales.
No hay ninguna manera de garantizar que el desencriptado funcionará como lo dicen sus programadores, además de que no se puede confiar en las mismas personas que secuestraron su información desde un principio.
Muchos ciber criminales dan instrucciones en la nota de rescate para permitir a sus victimas la desencripción de algunos archivos pequeños como prueba de que pueden hacerlo, pero el desencriptado masivo puede llegar a fallar parcialmente o no funcionar por completo.
Desafortunadamente no hay ninguna persona, hacker o empresa que pueda solucionar estos problemas de momento.
Las compañías antivirus desarrollan las protecciones y las vacunas, y en ocasiones, las soluciones para desencriptar. Sin embargo, el porcentaje de dichas soluciones es muy bajo y algunas tardan años en llegar.
Por su acción limitada, algunos ransomwares caen en el olvido antes de que alguien trabaje lo suficiente en su solución.
En los foros de las principales compañías antivirus hay individuos que analizan las muestras subidas por los afectados, y de vez en cuando pueden ofrecer una solución parcial o total, a veces gratis y a veces con costo.
Las policías cibernéticas trabajan dando seguimiento a estos casos pero son problemas complejos en los que hay factores técnicos y políticos que impiden una solución rápida y efectiva.
Desafortunadamente es un problema que va a la alza y que ha derivado en la aparición de todo un ecosistema en el que están involucrados gobiernos, comisionistas, hackers, lamers y delincuentes, todos en contra de los usuarios que, desafortunadamente, también aportan mucho para ser las victimas perfectas.
Nuevas amenazas se ciernen sobre todos, con la aparición de variantes mas sofisticadas, como el crypto mining y la venta de información secuestrada en la Dark Web.
– En inglés, muy completo: Ransomwre (Wikipedia)
– En español: Ransomware (Wikipedia) y Karspersky.
Puede volver al índice de Ransomware.
Contamos con un Servicio de asesoría para enfrentar el daño por ransomware (con costo).
Haga clic aquí si desea mayor información.
Eje Central Lázaro Cárdenas 13
Despacho 606
Col. Centro CDMX
(55) 4522-9785
(55) 5512-3864
(55) 5867-6649
(55) 5867-5169
Eje Central Lázaro Cárdenas esquina con Av. Independencia, entre metro Bellas Artes y San Juan de Letrán, una calle antes de llegar a la Torre Latinoamericana.
Horario L-V 10-6 – Sábado 11 a 3