12.1 C
Uruguay
miércoles, septiembre 23, 2020
Inicio Tecnología Como recuperar archivos encriptados por ransomware Locky (Cryptolocker)

Como recuperar archivos encriptados por ransomware Locky (Cryptolocker)



El ransomware (palabra en inglés que hace referencia a ransom de rescate, rescate en el contexto de pago de rescate ante un secuestro, y ware, de software) hace varios años que está instalado entre las amenazas que podemos encontrar en internet.
¿Que es el ransomware?, es un archivo malicioso (virus), que una vez ejecutado, encripta toda la información del usuario, archivos, carpetas, absolutamente todo, haciendo que el usuario no pueda acceder nunca más a éstos.
Una vez que completa su tarea, le presenta a su victima unas instrucciones desde un “wallpaper” o fondo de pantalla, indicándole que si quiere recuperar sus archivos, debe dirigirse a una dirección web, y realizar un pago.
Los pagos son a través de la red onion, y son en bitcoins (unos 400 dólares), asegurando así y preservando la identidad de estos criminales.
Hay dos ransomware famosos, el primero llamado Cryptolocker, y el segundo, que está atacando muchas empresas de Uruguay y el mundo, Locky.
Locky encripta todos los archivos de TODAS las unidades y los transforma en archivos .locky, además de todas las unidades de red, por lo que lo hace especialmente peligroso en un entorno de red, ya que puede comprometer TODOS los archivos de un fileserver.
Locky deja el siguiente mensaje en un TXT llamado _Locky_recover_instructions (Locky recover instructions) y en el protector de pantalla:
¡¡¡INFORMACIÓN IMPORTANTE!!!
Todos sus archivos están encriptados con RSA-2048 y los sistemas de cifrado AES-128.
Para más información sobre RSA consulte los siguientes enlaces:
http://es.wikipedia.org/wiki/RSA
http://es.wikipedia.org/wiki/Advanced_Encryption_Standard
La desencriptación de sus archivos es solo posible con una clave privada y un programa,
el cual está en nuestro servidor secreto.
Para recibir su clave privada de clic en uno de los siguientes enlaces:
1. http://xxxxxxxxxxxxxxxx
2. http://xxxxxxxxxxxxxxxx
3. http://xxxxxxxxxxxxxxxx
Si todos estos enlaces no están disponibles, siga los siguientes pasos:
1. Descargue e instale el Navegador Tor: https://www.torproject.org/download/download-easy.html
2. Después de una instalación exitosa, ejecute el navegador y espere la inicialización.
3. Introduzca en la barra de direcciones: xxxxxxxxxxxxxxxx
4. Siga las instrucciones en el sitio.
¡¡¡Su ID de identificación personal: xxxxxxxxxxxxxxxx!!!
Las X reemplazan las URL reales, las cuáles van cambiando.
Por supuesto, NO SE RECOMIENDA ENTRAR NI PAGAR BAJO NINGÚN MOTIVO.
¿Cómo funciona y se propaga?
Locky y los ransomware en general se propagan a través de correo electrónico, finge ser una factura, un fax, un estado de cuenta, o cualquier otra cosa que le suene al usuario real y confiable. Una vez que el usuario ejecuta el archivo adjunto infectado, que suele ser un archivo de Java Script .js, o un documento de Word o Excel con Macros (el cuál es un trojan downloader) éste baja un ejecutable y lo ejecuta sin que el usuario lo sepa, iniciando así su rutina de infección y encriptado.
¿Cómo puedo recuperar mis archivos?
En el caso del CryptoLocker, al ser un ransomware ya conocido, hay herramientas disponibles, por ejemplo esta de Kaspersky.
En el caso de Locky, al ser nuevo, lamentablemente no existe ninguna herramienta maravillosa, pero sí un posible camino, sin embargo hay que tener habilitados las recuperaciones del sistema de Windows, o también llamadas las “Shadow Copy”.
Locky suele destruir la carpeta “System Volume Information” que es donde se guardan precisamente todos los respaldos de los archivos, pero podemos recuperarlos fácilmente.
Lo primero que tenemos que hacer, es bajar dos herramientas:
1. ShadowExplorer
2. Recuva
Lo primero que tenemos que hacer, es ejecutar el ShadowExplorer para ver si logramos acceder a las copias de seguridad de los archivos, si podemos, entonces simplemente restauramos las mismas y listo, problema solucionado.
En el caso que el Shadow Explorer no logre encontrar copias de seguridad, lo segundo que tenemos que hacer es utilizar la herramienta “Recuva”, y recuperar el directorio completo System Volume Information, que seguramente fue borrado por Lucky.
Una vez recuperado, volvemos al paso uno, y recuperamos los archivos con el Shadow Explorer.
Seguramente en un futuro las grandes firmas de Antivirus saquen una herramienta, pero por ahora, la única solución es esta, y por supuesto ser siempre cuidadosos y no ejecutar ningún archivo que proceda de fuentes que no conozcamos.




Otras Noticias

Las cartas de Trump y Nixon destacan una relación única

Eran dos hombres en Manhattan que ansiaban lo mismo: validación. Uno era un joven promotor inmobiliario descarado que buscaba poner su sello en...

El gobierno de Lacalle Pou ratificó su “condena al régimen de Venezuela”

Foto: @PresidencialVenEste miércoles 23 de septiembre, la Cancillería uruguaya emitió un comunicado a través del cual expresa que apoya...