Cómo actuar en caso de un ataque de ransomware
Principales signos que pueden ponerte en alerta:
El ransomware es un tipo de malware que se introduce en los equipos y dispositivos móviles conectados a Internet impidiendo el acceso a la información.
Generalmente la cifran y, a continuación, piden un rescate para que vuelva a ser accesible o no sea divulgada. No siempre es posible revertir sus efectos, en particular si no podemos descifrar los archivos secuestrados y no tenemos copias de seguridad.
A continuación, te explicamos cómo puedes actuar si has sufrido un ataque de este tipo y estás intentando salvar tu información. Y recuerda, ¡no accedas nunca a las peticiones de pago para recuperar tu información! Son ciberdelincuentes y no hay ninguna garantía de que puedas recuperar tu información, solo les interesa tu dinero.
Antes de comenzar con los siguientes pasos, te recomendamos que hagas una copia de la información almacenada en el disco, aunque esté cifrada, ya que el proceso que se describe a continuación podría suponer la eliminación de archivos, provocando que no se puedan recuperar de ninguna forma.
Lo primero que debes hacer es entrar en el entorno de recuperación de Windows (Windows RE). Para ello, sigue estos pasos:
Pulsa las teclas Windows + I en el teclado para abrir la configuración. Si eso no funciona, selecciona el botón de “Inicio” y luego “Configuración”.
Cuando se abra la ventana de configuración de Windows, selecciona “Actualización y seguridad” y, a continuación, haz clic en “Recuperación”. En “Inicio avanzado” selecciona “Reiniciar ahora”.
Ahora que estás en el entorno de recuperación de Windows, sigue estos pasos para acceder al modo seguro:
En la pantalla "Elegir una opción" selecciona "Solucionar problemas".
En la pantalla "Solucionar problemas", haz clic en el botón "Opciones avanzadas".
Una vez en "Opciones avanzadas", haz clic en la opción "Configuración de inicio". En Windows 8 esta opción se denomina "Configuración de inicio de Windows".
En "Configuración de inicio", haz clic en "Reiniciar".
Después de que el equipo se reinicie verás una lista de opciones, selecciona la opción 5 de la lista o pulsa F5 para entrar en el modo seguro con funciones de red.
Mientras el equipo se ejecuta en modo seguro con funciones de red, tendremos que descargar, instalar y ejecutar un análisis con el programa Malwarebytes, explicado en el punto 2.
Mientras el ordenador está en modo seguro con funciones de red, descarga e instala un cleaner en el dispositivo. Utilizaremos como ejemplo Malwarebytes, siguiendo los pasos que se muestran a continuación para ejecutar un análisis del sistema:
- Descarga Malwarebytes a través del siguiente enlace: Malwarebytes descarga.
Cuando Malwarebytes haya terminado de descargarse, haz doble clic en el archivo “MBSetup” para instalar Malwarebytes en el equipo. En la mayoría de los casos, los archivos descargados se guardan en la carpeta de descargas.
Es posible que aparezca una ventana emergente de control de cuentas de usuario preguntando si deseas permitir que Malwarebytes realice cambios en tu dispositivo. Si esto sucede, haz clic en "Sí" para continuar con la instalación de Malwarebytes.
Cuando comience la instalación, verás el asistente que te guiará por todo el proceso.
El instalador preguntará, en primer lugar, en qué ruta quieres instalar el programa.
Para continuar con la instalación, haz clic en “A mí o a mi familia” o “A mi organización”, según corresponda y, posteriormente, en “Siguiente”.
Haz clic en “Hecho” para finalizar el proceso de instalación.
Cuando la instalación de Malwarebytes se haya completado, el programa se abrirá en la pantalla de bienvenida. Haz clic en el botón "Empezar".
Una vez instalado Malwarebytes, haz clic en "Scan". Malwarebytes actualizará automáticamente la base de datos del antivirus y comenzará a escanear el equipo en busca de malware y otros posibles programas maliciosos.
Este proceso puede tardar unos minutos.
Cuando el escaneo haya finalizado, aparecerá una pantalla que muestra las infecciones de malware detectadas. Para eliminar los archivos maliciosos encontrados, haz clic en el botón "Cuarentena".
Para que Malwarebytes elimine el malware y otros programas maliciosos que estén en cuarentena, entra en “Historial de detecciones” y haz clic en “Borrar”.
Para completar el proceso de eliminación del malware, Malwarebytes le pedirá que reinicie el equipo.
Cuando el proceso de eliminación del malware se haya completado, el ordenador debería iniciarse en modo normal. Si no es así, reinicia el equipo para salir del modo seguro y continúa con el resto de las instrucciones. Recomendamos realizar otro análisis con Malwarebytes una vez estés en modo normal para asegurar que todos los archivos maliciosos fueron eliminados.
Aunque el escaneo del dispositivo con el cleaner Malwarebytes en principio es suficiente, los usuarios que todavía tienen problemas relacionados con el malware o simplemente quieren asegurarse de que su equipo está totalmente limpio pueden analizar el equipo con otros cleaners o herramientas específicas antiransomware, como pueden ser HitmanPro y Emsisoft Emergency Kit descarga.
Desafortunadamente, no siempre es posible recuperar los archivos cifrados por un ransomware porque no se dispone de la clave privada que se necesita para descifrarlos.
En cualquier caso, a continuación detallamos tres métodos que se pueden utilizar para intentar recuperar los archivos.
Método 1: buscar una herramienta de descifrado del ransomware
Puede que en este momento no haya ninguna herramienta de descifrado disponible para el tipo de ransomware que ha infectado tu dispositivo. Sin embargo, la comunidad de ciberseguridad está trabajando constantemente para crear herramientas de descifrado de ransomware, por lo que puedes intentar buscar periódicamente en estos portales por si hubiese actualizaciones:
- https://www.nomoreransom.org/es/index.html
- https://id-ransomware.malwarehunterteam.com/
- https://decrypter.emsisoft.com/
- https://noransom.kaspersky.com/
- https://www.avast.com/ransomware-decryption-tools
Método 2: recuperar tus archivos con herramientas de recuperación de datos
Herramientas de estas características que se podrían utilizar:
En este procedimiento, instalaremos e intentaremos recuperar los archivos cifrados con Recuva, una herramienta gratuita de recuperación de datos:
- Descarga la versión gratuita de Recuva a través del siguiente enlace: Recuva descarga.
Haz doble clic en el archivo de instalación “rcsetup153.exe” para iniciar el proceso de instalación y sigue las indicaciones en pantalla para instalar el programa.
Cuando Recuva se inicie, mostrará un asistente que te guiará a través de diferentes opciones de recuperación. Para iniciar este asistente, haz clic en "Run Recuva".
En la siguiente pantalla haz clic en “Next” ("Siguiente").
Ahora Recuva preguntará qué tipo de archivos quieres recuperar. Haz clic en “All Files” ("Todos los archivos") y luego en “Next” ("Siguiente").
En la siguiente pantalla te preguntarán dónde se encuentran los archivos que quieres recuperar. Selecciona “I’m not sure” ("No estoy seguro") para buscar en todas las carpetas de tu ordenador y haz clic en “Next” ("Siguiente").
A continuación, haz clic en “Start” ("Iniciar") para comenzar el escaneo.
Recuva escaneará tu equipo y, una vez haya terminado, mostrará una lista de todos los archivos que fueron detectados. Selecciona las casillas de verificación al lado del archivo o archivos que deseas restaurar. El color del punto, junto al nombre del archivo, indica las posibilidades de una recuperación exitosa (verde para excelente, naranja para aceptable y rojo para improbable).
Una vez hayas seleccionado los archivos que deseas recuperar, haz clic en “Recover” ("Recuperar"). Escoge un destino para guardar los archivos recuperados y luego haz clic en "Aceptar".
Método 3: restaurar tus archivos de una copia anterior
El ransomware intentará eliminar todas las copias ocultas (shadow copies), pero afortunadamente la infección no siempre es capaz de eliminarlas, por lo que deberías intentar restaurar tus archivos con alguna herramienta específica como:
A continuación, mostraremos cómo hacerlo con ShadowExplorer:
- Descarga ShadowExplorer a través del siguiente enlace: ShadowExplorer descarga.
Haz doble clic en el archivo “ShadowExplorer-x.x-setup.exe” para iniciar el proceso de instalación, elige el idioma español y sigue las indicaciones en pantalla, como muestran las imágenes, para instalar el programa.
Abre ShadowExplorer y, posteriormente, desde la barra superior selecciona la unidad en la que se encuentran los archivos que deseas guardar. A continuación, selecciona una de las copias disponibles anteriores a la infección.
Una vez el programa haya encontrado una copia del archivo o carpeta original, haz clic con el botón derecho del ratón y selecciona "Exportar". Una ventana te preguntará dónde quieres guardar el archivo o la carpeta.
Si has seguido los pasos anteriores, tu equipo debería estar libre de malware y posiblemente hayas recuperado tu información en el caso de que no tuvieses copias de seguridad. De lo contrario, permanece atento a las webs mencionadas, porque es posible que próximamente desarrollen alguna herramienta que te permita recuperarla.
¿Quieres saber más sobre el ransomware? Echa un vistazo a la siguiente página: “Ransomware”.