Cómo eliminar y protegerte del virus que secuestra tus archivos y te pide dinero para recuperarlos

Cómo eliminar y protegerte del virus que secuestra tus archivos y te pide dinero para recuperarlos

Cómo eliminar y protegerte del ransomware

En los últimos días se han presentado reportes de un “virus” que encripta toda tu información como documentos office, aplicaciones, bases de datos SQL, etc ademas cambia la extensión del archivo por algo como .XHMS (letras al azar) .

 

Qué es el ransomware

El ransomware (del inglés ransom, “rescate”) es un software malicioso que bloquea el acceso a los archivos de tu computadora y te pide dinero por un código para desbloquearlos. El primer paso es infectar el sistema, algo que puede suceder cuando abres un documento extraño que recibes, por ejemplo, por correo electrónico. El código malicioso del virus podría estar oculto en un Word o un PDF. Una vez infectado el sistema, el virus se pone en contacto con un servidor central para obtener la información que necesita para activarse y pedirte el rescate. Entonces cifra el contenido de tu disco duro y te da instrucciones para realizar el pago. Normalmente te amenaza con un plazo temporal antes de borrar definitivamente los archivos o subir el precio del rescate. El ransomware afecta a todo tipo de sistemas: Windows, Mac y Linux.

Al día de hoy resulta que no solo es posible ejecutarse a traves de un correo electrónico y mediante ejecución manual si no que también nos han llegado reportes de que los equipos se infectan a causa de la ejecución de un script que un hacker lo corre remotamente aprovechando la vulnerabilidad de windows y los puertos de escucha 3389 (escritorio remoto) sea en las versiones de escritorio o server, en los casos especificos de poseer direccion IP Estatica con conexion a escritorio remoto.

Este virus criptográfico cambia el fondo de pantalla del escritorio reproducen el mismo mensaje que informa al usuario sobre la encriptación. Se asegura que los archivos pueden ser solo desencriptados con un desencriptador desarrollado por los ciberdelincuentes y pide rescate por ellos.

Lo malo es que muchos antivirus no lo pueden eliminar y si llegan a dar alguna advertencia la gran mayoría de los usuarios la pasan por alto y sin querer autorizan “la destrucción de su información”.

Solución

La verdad es que NO EXISTE una forma fiable de recuperar los datos afectados y lo único que funciona en estos casos es la prevención. algunos  Antivirus ofrece herramientas (tool remove) para desencriptar los archivos afectados por el RASOMWARE, cada uno aplicable a una variante por fecha o un tipo de cifrado especifico, sigue sin ser una solución definitiva pero al menos existe una probabilidad. —Desencriptar datos—

Prevención

Haz un backup periódico de tus datos

La única herramienta y la más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. Si te ataca un ransomware podrás perder ese documento en el que comenzaste a trabajar esta mañana, pero si puedes restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde tu backup los documentos que estaban infectados, estarás tranquilo.

Debes considerar realizar respaldos redundantes en 2 niveles por lo menos, es decir respaldar tu información hacia otro equipo en forma diaria y este consolidado subirlo a la nube saltando un día.

Toma en cuenta que NO FUNCIONA si tienes el disco duro externo conectado permanentemente en tu equipo o si sueles copiar tu información en otra partición del mismo equipo, porque este virus también cifra archivos en unidades asignadas. Esto incluye todos los discos externos como las memorias USB, así como los espacios de almacenamiento en la red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, lo que debes hacer es llevar un régimen periódico en un disco externo o servicio de backup, que no tenga asignada ninguna letra de unidad o que se pueda desconectar mientras no está haciendo el backup

Instala las revisiones y actualizaciones de tu software

Los siguientes dos consejos son más generales y sirven tanto para Cryptolocker como para cualquier otra amenaza de malware. Los cibercriminales con frecuencia se basan en que las personas usan software desactualizado con vulnerabilidades conocidas, lo que les permite usar un exploit e ingresar silenciosamente al sistema.

Si te haces el hábito de actualizar tu software con frecuencia, reducirás significativamente la posibilidad de convertirte en víctima del ransomware. Algunos fabricantes lanzan actualizaciones de seguridad periódicas de rutina, como por ejemplo Microsoft y Adobe, pero también existen actualizaciones adicionales no programadas para casos de emergencia. Siempre que sea posible, habilita las actualizaciones automáticas, o ve directamente al sitio web del fabricante, ya que a los creadores de malware también les gusta hacer pasar sus creaciones como actualizaciones desoftware.

Usa un paquete de seguridad confiable

Siempre es una buena idea tener un software antimalware y un firewall que te ayuden a identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la detección, por lo que es importante contar con ambas capas de protección.

En la actualidad, la mayoría del malware se basa en recibir instrucciones remotas para llevar a cabo sus actividades maliciosas. Si te cruzas con una variante de ransomware tan nueva que logra pasar el software antimalware sin que la detecte, es posible que quede bloqueada por el firewall cuando intente conectarse con su servidor de Comando y Control (C&C) para recibir instrucciones sobre el cifrado de tus archivos.

Si te encuentras en una posición en la que ya ejecutaste el archivo del ransomware sin ninguna de las precauciones antes mencionadas, tus opciones ya son mucho más limitadas. Pero puede ser que no todo esté perdido. Hay algunas cosas que puedes hacer que quizás ayuden a mitigar los daños, en particular si el ransomware en cuestión es Cryptolocker.

Aunque el hecho de pagarles a los criminales puede llevarte a recuperar tus datos, hubo muchos casos en los que la clave de descifrado nunca llegó o no descifró los archivos. Además, ¡fomenta la conducta criminal! Ningún tipo de secuestro es una práctica comercial legítima, por lo tanto, los creadores de malware no tienen ninguna obligación de cumplir con lo acordado; pueden llevarse el dinero sin dar nada a cambio, ya que no existe ningún control ni sanción si no lo hacen.

¿Se pueden desbloquear mis archivos sin pagar?

Hay herramientas específicas contra los virus más conocidos que pueden ayudarte a desbloquear tus archivos. Pero, si estás infectado y el virus se ha activado, entonces los archivos de tu disco duro se habrán cifrado con uno de los algoritmos más populares de la criptografía moderna. Lo más probable es que no consigas descifrarlos. Lo que puedes hacer es formatear el disco para que tu PC vuelva a funcionar con normalidad, pero necesitarás una copia de seguridad anterior al ataque para recuperar también el contenido. Si no tienes una copia, no hay mucho más que puedas hacer.

 

Si pago, ¿se desbloqueará mi disco duro?

Quieres rescatar tus archivos, lo entiendo. En ataques anteriores al de hoy, como los del conocido CryptoLocker, algunos usuarios aseguraron haber recuperado sus archivos después de realizar el pago, pero no hay ninguna garantía de que los cibercriminales vayan a cumplir con su palabra. Es más, estarías dándoles una razón para realizar nuevos ataques de ransomware.

¿Cómo puedo protegerme del ransomware?

No abras enlaces ni archivos sospechosos, especialmente si te llegan por correo electrónico o redes sociales. Cualquiera puede dejar un Word, un PDF o una imagen infectada en tu ordenador, pero lo más probable es que el virus te llegue por correo electrónico. Si no confías en el remitente o no esperabas que esa persona te escribiese, no abras ningún archivo ni enlace. También las páginas web pueden inyectarte malware sin que hagas doble clic sobre ningún archivo. Para luchar contra eso, actualiza siempre el navegador además del sistema.

¿Qué hago si ya estoy infectado?

Si todo lo anterior falló y sospechas que estás infectado, desconéctate de Internet antes de que el virus contacte con el servidor para activarse, con suerte estarás a tiempo de salvar tus archivos. Si no has llegado a tiempo y los hackers han conseguido secuestrar tu disco duro, debes desconectar el sistema igualmente antes de que infecte a otras computadoras de la red. Como ya tienes copia de seguridad de tus archivos, ahora puedes usar “Restaurar sistema” en Windows o “Time Machine” en Mac para volver al estado anterior al ataque (anterior al ataque significa anterior a la infección en sí, no al cifrado de los archivos; tienes que asegurarte de que el ejecutable malicioso no vuelva a aparecer entre tus documentos).

Referencia: https://www.spamstopshere.com/blog/antivirus/ransomware-increase-flood-locky-and-other-viruses

 


Post Tags


About The Author


Comments are closed.