¿Qué es un ransomware y cómo se elimina?

El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.

¿Cómo puede infectarse?

El ransomware puede infectar su ordenador de varias formas. Uno de los métodos más habituales actualmente es a través de spam malicioso, o malspam, que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.

El malspam usa ingeniería social para engañar a la gente con el fin de que abra archivos adjuntos o haga clic en vínculos que parecen legítimos, aparentando que proceden de una institución de confianza o de un amigo. Los ciberdelincuentes emplean la ingeniería social en otros tipos de ataques de ransomware, por ejemplo presentarse como el FBI para asustar a los usuarios y obligarles a pagar una suma de dinero por desbloquear los archivos.

Otro método de infección habitual, que alcanzó su pico en 2016, es la publicidad maliciosa. La publicidad maliciosa consiste en el uso de publicidad en línea para distribuir malware con poca interacción por parte del usuario o incluso ninguna. Mientras navegan por la web, incluso por sitios legítimos, los usuarios pueden ser conducidos a servidores delictivos sin necesidad de hacer clic en un anuncio. Estos servidores clasifican los detalles de los ordenadores de las víctimas y sus ubicaciones y, a continuación, seleccionan el malware más adecuado para enviarlo. Frecuentemente, ese malware es ransomware.

Qué hacer si hay infección

La regla número uno si se da cuenta de que se ha infectado con ransomware es no pagar nunca el rescate. (Este es ahora el consejo respaldado por el FBI). Todo lo que conseguiría sería animar a los ciberdelincuentes a lanzar ataques adicionales contra usted o contra otras personas. No obstante, es posible recuperar algunos archivos cifrados mediante desencriptadores gratuitos.

Pero seamos claros: No todas las familias de ransomware disponen de desencriptadores creados para ellas debido, en muchos casos, a que el ransomware usa algoritmos de cifrado avanzados y sofisticados. E incluso si existe un desencriptador, no está siempre claro que sea para la versión correcta del malware. Y no querrá cifrar aún más sus archivos usando el script de descifrado equivocado. Por tanto, debe prestar mucha atención al mensaje de rescate en sí, o incluso solicitar el consejo de un especialista en seguridad/TI antes de intentar nada.

Una de las características básicas de esa amenaza es que una vez que se cifran los archivos por el malware, resulta imposible descifrarlos sin la clave proporcionada por los ciberdelincuentes. Las autoridades y expertos advierten: no es recomendable pagar el rescate. Por varios motivos, uno de ellos es que se financia el cibercrimen, el otro es que no siempre se obtiene dicha clave.

Uno de los problemas a los que nos enfrentamos a la hora de luchar contra este ciberataque es que no existe un único tipo de ransomware, sino muchas familias diferentes, miles. Cada una, requiere su propia clave de descifrado.

Además, también existen distintos tipos de técnicas de ransomware, no todas son iguales. Algunas cifran los archivos, otras bloquean el acceso al terminal… E incluso hay variantes que simulan cifrar los archivos a cambio de dinero, pero no son más que un fraude. Aquí hacemos un repaso de las técnicas más extendidas.

A pesar de esto, no todo está perdido, también hay luz al final del túnel. Las compañías fabricantes de seguridad así como diferentes organizaciones del sector invierten en encontrar soluciones y claves de descifrado de las diferentes familias de ransomware.

Hacemos un repaso de algunas de las herramientas gratuitas para descifrar distintos tipos de ransomware que están a disposición de los usuarios. Si el tipo de ransomware por el que estás afectado aún no se ha logrado descifrar, no desesperes, ten paciencia y puede que en un tiempo den con ella.

1. No More Ransom

Este es uno de los proyectos más antiguos creados para proporcionar a los usuarios herramientas para descifrar ransomware. Europol o firmas de seguridad como McAfee están detrás de la iniciativa No More Ransom.

Ofrecen distintos tipos de herramientas que se pueden descargar de forma gratuita para eliminar diferentes versiones de este software malicioso. Muestran por orden alfabético las más de 90 familias de este malware que permite descifrar. También puedes buscar en su buscador si el ransomware que te ha afectado es uno de los que puedes descifrar con sus programas.

777 ransom, Alcatraz, Alpha, Amnesia, Annabelle, Aura, Autolocky, CrySIS, Cryp888, CryptXXX, Damage, Dharma, FilesLocker, Jigsaw Ransom, Linux.Encoder, Popcorn, SNSLocker, Xdata o Xorbat ransom son algunos de los software malicioso que permite descifrar.

2. No Ransom 

Creada por la firma de seguridad Kaspersky Lab, No Ransom es una web en la que encontrarás descifradores para distintas versiones de ransomware gratuitos.

Cuenta con un buscador en el que puedes encontrar si cuentan con la clave para descifrar el ransomware que ha infectado tu equipo.

TeslaCrypt, Rakhni, Rannoh, Shade, CoinVault, Bitcryptor, Wildfire, Xorist o Vandev son algunos de los tipos que puede descifrar.

Antes de usar las herramientas, recomiendan leer la guía de usuario que proveen en su propia web, ya que por ejemplo, es necesario eliminar el malware antes.

3. 360 Ransomware Decryption Tool

La compañía de ciberseguridad 360 cuenta con una herramienta que permite descifrar 80 tipos diferentes de este tipo de software malicioso. Se puede descargar directamente desde esta web, y seguir sus instrucciones.

GandCrab, Petya, Gryphon o GoldenEye son algunos de los ransomware que ayudará a descifrar.

También cuentan con una herramientas específica para descifrar archivos infectados por Wannacry, el famoso ransomware que hizo estragos en empresas de todo el mundo, la herramienta se puedes descargar aquí. 

Esta herramienta funciona en equipos Windows, y puede usarse también como software de prevención o hacer un escaneo de virus en el dispositivo, si se quiere. Si la instalamos en un equipo que ya esté infectado, será necesario hacer antes una copia de los archivos cifrados en un disco duro externo.

4. Ransomware Recognition Tool: para ayudarte a reconocer cuál es

Las anteriores herramientas nos ayudarán si sabemos a ciencia cierta qué tipo de ransomware es el que ha infectado el equipo. Pero, ¿si no estamos seguros?

Esta herramienta creada por Bitdefender: Ransomware Recognition Tool es una aplicación que puede identificar la versión y familia del ransomware del ordenador de la víctima. Posteriormente recomienda la herramienta más apropiada para descifrarla (si existe).

Tan solo hay que descargar y escanear.

5. Más herramientas

ESET es otra de las compañías de seguridad que pone a disposición de los usuarios herramientas gratuitas para poder deshacerte de varios tipos de este software malicioso.

Han lanzado varias, por ejemplo esta herramienta gratuita disponible para descargar para víctimas del ransomware Crysis, pudiendo ayudar a usuarios afectados por seis variantes de este ransomware con las extensiones: .xtbl, .crysis, .crypt, .lock, .crypted y .dharma.

Asimismo, también cuenta con una herramienta gratuita capaz de recuperar los archivos afectados por la familia de ransomware AES-NI, incluyendo XData. Las víctimas de este ransomware, detectado como Win32/Filecoder.AESNI.B y Win32/Filecoder.AESNI.C pueden recuperar sus archivos cifrados.

La firma de seguridad AVG también cuenta con una página en la que actualiza herramientas de descifrado gratuitas para ransomware. Cuentan con software válido para Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker y TeslaCrypt.

¿Cómo usar estas herramientas?

La mayoría de ellas cuentan con guías que explican su funcionamiento. En términos generales, hay que asegurarse primero con qué clase e ransomware estás infectado.

A continuación, tendrás que usar una solución antimalware para deshacerte del software malicioso de tu equipo. La mayoría de las firmas de seguridad cuentan con versiones gratuitas para ello.

Una vez hecho este paso, descarga la herramienta de descifrado, y ejecútala en el equipo para recuperar los archivos cifrados por ransomware.

¿Cómo evitarlo? Prevención y más prevención

Cuando hablamos de ransomware, la información y estar prevenido es fundamental.

Para comenzar, hay que tener cuidado con lo que descargamos de nuestro correo electrónico (los archivos adjuntos no siempre son lo que parecen). Si tenemos dudas, mejor evitar descargarlos en el dispositivo.

De la misma forma, es mejor evitar acceder a enlaces que compartan con nosotros en redes sociales o mensajería instantánea que estén acortados o no conozcamos su procedencia. Las cadenas de mensajes (reenviados), directamente deberíamos obviarlos.

En cuanto a medidas de protección que podemos poner a nivel de software, por supuesto contar con una buena solución antimalware instalada nos ayudará mucho para detectar todo tipo de malware.

Y es básico mantener copias de seguridad de todos nuestros archivos, de esta forma, aunque nos pidan un rescate por ella, no tendremos la necesidad de hacerlo: estarán a salvo en nuestro backup.