Inicio / Protege tu empresa / Blog / Ataque de ransomware, ¿cómo puedo recuperar mi información?

Ataque de ransomware, ¿cómo puedo recuperar mi información?

Publicado el 26/04/2022, por Miriam Puente (INCIBE)
Ransomware

El ransomware es un tipo de malware que se introduce en los equipos y dispositivos móviles conectados a Internet impidiendo el acceso a la información, generalmente cifrándola, y solicitando un rescate para que vuelva a ser accesible o no sea divulgada. El malware intenta propagarse al resto de los sistemas conectados a la Red, poniendo así en riesgo la continuidad de negocio.

Actualmente, es uno de los incidentes de seguridad que más afecta a las empresas y se manifiesta cuando la información ya ha sido secuestrada. No siempre es posible revertir sus efectos, en particular si no podemos descifrarlos y no tenemos copias de seguridad.

Hoy en día disponemos de ciertas herramientas para el sistema operativo Windows, que pueden ayudarnos en el proceso de recuperación y que te enseñamos a manejar en este artículo. Si has sufrido un ataque de este tipo y estás intentando salvar tu información, nunca consideres el pago del rescate como opción.

1. Inicia el equipo en modo seguro con funciones de red

En este primer paso iniciamos el equipo en modo seguro con funciones de red para evitar que los controladores y servicios maliciosos se carguen al iniciar Windows. Se opta por este modo porque inicia Windows en un estado básico, usando un conjunto limitado de archivos y controladores.

Windows 10 o Windows 8

Antes de entrar en el modo seguro es necesario entrar en el entorno de recuperación de Windows (Windows RE). Para ello, es necesario realizar los siguientes pasos:

  1. Pulsa las teclas Windows + I en el teclado para abrir la configuración. Si eso no funciona, selecciona el botón de “Inicio” y luego “Configuración”.

Configuración de Windows

  1. Cuando se abra la ventana de configuración de Windows, selecciona “Actualización y seguridad” y, a continuación, haz clic en “Recuperación”. En “Inicio avanzado” selecciona “Reiniciar ahora”.

Recuperación - Inicio avanzado

Ahora que estás en el entorno de recuperación de Windows, sigue estos pasos para acceder al modo seguro:

  1. En la pantalla "Elegir una opción" selecciona "Solucionar problemas".

Ejecutable Malwarebytes

  1. En la pantalla "Solucionar problemas" haz clic en el botón "Opciones avanzadas".

Opciones avanzadas

  1. Una vez en "Opciones avanzadas" haz clic en la opción "Configuración de inicio". En Windows 8 esta opción se denomina "Configuración de inicio de Windows".

Configuración de inicio

  1. En "Configuración de inicio" haz clic en "Reiniciar".

Reiniciar

  1. Después de que el equipo se reinicie verás una lista de opciones, selecciona la opción 5 de la lista o pulsa F5 para entrar en el modo seguro con funciones de red.

Opción 5 - modo seguro con funciones de red

  1. Mientras el equipo se ejecuta en modo seguro con funciones de red, tendremos que descargar, instalar y ejecutar un análisis con el programa Malwarebytes, explicado en el punto 2.

Windows 7

  1. Retira los CD y DVD del ordenador si los hubiera y reinícialo.
  2. Cuando el equipo se inicie verás que el hardware del ordenador empieza a listarse en pantalla. Cuando veas esta información pulsa la tecla F8 repetidamente hasta que aparezcan las opciones de arranque avanzadas, como se muestra en la imagen.

Windows 7 - Opciones avanzadas

  1. Utiliza las teclas de la flecha hasta que la opción modo seguro con funciones de red aparezca resaltada y luego pulsa la tecla “Enter/Intro”.
  2. Mientras el equipo se ejecuta en modo seguro con funciones de red, tendremos que descargar, instalar y ejecutar un análisis con el programa Malwarebytes, explicado a continuación. En algunos casos, se pueden experimentar problemas al intentar iniciar el ordenador en modo seguro. Si esto sucede, intenta escanear tu equipo con Malwarebytes en modo normal.

2. Utiliza Malwarebytes para eliminar el ransomware

Mientras el ordenador está en modo seguro con funciones de red, descarga e instala Malwarebytes siguiendo los pasos que se muestran a continuación para ejecutar un análisis del sistema:

  1. Descarga Malwarebytes a través del siguiente enlace: Malwarebytes descarga.
  2. Cuando Malwarebytes haya terminado de descargarse haz doble clic en el archivo “MBSetup” para instalar Malwarebytes en el equipo. En la mayoría de los casos, los archivos descargados se guardan en la carpeta de descargas.

Ejecutable Malwarebytes

Es posible que aparezca una ventana emergente de control de cuentas de usuario preguntando si deseas permitir que Malwarebytes realice cambios en tu dispositivo. Si esto sucede, haz clic en "Sí" para continuar con la instalación de Malwarebytes.

  1. Cuando comience la instalación verás el asistente que te guiará por todo el proceso.

Instalar malwarebytes

El instalador preguntará, en primer lugar, en qué ruta quieres instalar el programa.

Malwarebytes elegir ruta

  1. Para continuar con la instalación haz clic en “A mí o a mi familia” o “A mi organización”, según corresponda y, posteriormente, en “Siguiente”.

¿A quién va a proteger?

  1. Haz clic en hecho para finalizar el proceso de instalación.

¿A quién va a proteger?

  1. Cuando la instalación de Malwarebytes se haya completado el programa se abrirá en la pantalla de bienvenida. Haz clic en el botón "Empezar".

Malwarebytes-empezar

  1. Una vez instalado Malwarebytes, tienes la opción de elegir entre la versión gratuita y la prémium en “Activate subcription”. La edición prémium incluye herramientas preventivas, como el escaneo en tiempo real y la protección contra el ransomware. Sin embargo, para esta guía solo utilizaremos la versión gratuita, que nos permite limpiar el equipo. Por lo tanto, haz clic en "Scan". Malwarebytes actualizará automáticamente la base de datos del antivirus y comenzará a escanear el equipo en busca de malware y otros posibles programas maliciosos.

Malwarebytes-Scan

  1. Este proceso puede tardar unos minutos.

Malwarebytes- Scanner en progreso

  1. Cuando el escaneo haya finalizado aparecerá una pantalla que muestra las infecciones de malware detectadas. Para eliminar los archivos maliciosos encontrados haz clic en el botón "Cuarentena".

Malwarebytes- Cuarentena

  1. Para que Malwarebytes elimine el malware y otros programas maliciosos que estén en cuarentena entra en “Historial de detecciones” y haz clic en “Borrar”.

Malwarebytes - Historial detcciones

Malwarebytes - Borrar

  1. Para completar el proceso de eliminación del malware Malwarebytes te pedirá que reinicies el equipo. Cuando el proceso de eliminación del malware se haya completado el ordenador debería iniciarse en modo normal. Si no es así, reinicia el equipo para salir del modo seguro y continúa con el resto de las instrucciones. Recomendamos realizar otro análisis con Malwarebytes una vez estés en modo normal para asegurar que todos los archivos maliciosos fueron eliminados.

3. Escanea y limpia tu equipo con HitmanPro

En este tercer paso, descargaremos y ejecutaremos un análisis con HitmanPro para eliminar el ransomware y otros posibles programas maliciosos.

HitmanPro es un escáner de segunda opinión, que adopta un enfoque basado en la nube para el análisis de malware, escaneando el comportamiento de los archivos activos y también los archivos en ubicaciones donde normalmente reside el malware, en busca de actividad sospechosa.

En la versión gratuita de HitmanPro no hay límite en el escaneo. Sin embargo, cuando es necesario eliminar o poner en cuarentena el malware detectado es necesario activar la prueba de 30 días para que se ejecute la limpieza.

Sigue los pasos que se detallan a continuación para llevar a cabo el escaneo y la limpieza del equipo:

  1. Descarga HitmanPro a través del siguiente enlace: HitmanPro descarga
  2. Una vez finalizada la descarga, haz doble clic en "HitmanPro.exe" (para versiones de Windows de 32 bits) o "HitmanPro_x64.exe" (para versiones de Windows de 64 bits) para instalar este programa en el equipo. Salvo que se haya configurado de otra forma, en la mayoría de los casos, los archivos descargados se guardan en la carpeta de descargas.

HitmanPro - Setup

Es posible que aparezca una ventana emergente de control de cuentas de usuario preguntando si desea permitir que HitmanPro realice cambios en su dispositivo. Si esto ocurre, haz clic en "Sí" para continuar con la instalación.

  1. Cuando HitmanPro se inicie aparecerá el asistente que se muestra a continuación. Haz clic en el botón "Siguiente" para realizar un análisis del sistema.

HitmanPro - Setup

  1. Si deseas que se guarde una copia de HitmanPro para que esté disponible para posteriores análisis, deja seleccionada la primera opción, tal y como se muestra en la siguiente imagen. En caso contrario, selecciona “No, solo quiero realizar un escaneo una sola vez para comprobar este equipo”. Haz clic en “Siguiente” para comenzar el análisis.

HitmanPro - Copia

  1. Ahora HitmanPro comenzará a analizar tu ordenador en busca de ransomware y otros posibles programas maliciosos. Este proceso puede tardar unos minutos.
  2. Cuando HitmanPro haya terminado el análisis mostrará una lista de todo el malware que el programa ha encontrado. Haz clic en el botón "Siguiente" para eliminar el ransomware y los demás programas maliciosos detectados.

HitmanPro - Equipo infectado

  1. Haz clic en el botón "Activar licencia gratuita" para comenzar la prueba de 30 días y proceder a la eliminación del malware y demás contenido malicioso del equipo.

HitmanPro - Activar

  1. Cuando el proceso haya finalizado cierra HitmanPro y continúa con el paso 4.

4. Doble comprobación de programas maliciosos con Emsisoft Emergency Kit

En este cuarto paso escanearemos el ordenador con Emsisoft Emergency Kit para eliminar cualquier archivo malicioso que haya podido escapar a los anteriores escaneos y limpiezas.

Aunque los escaneos de Malwarebytes y HitmanPro son en principio suficientes, es recomendable utilizar Emsisoft Emergency Kit para los usuarios que todavía tienen problemas relacionados con el malware o simplemente quieren asegurarse de que su equipo está totalmente limpio.

Emsisoft Emergency Kit es un escáner gratuito de segunda opinión, que puede utilizarse sin necesidad de instalación para escanear y limpiar equipos infectados. Emsisoft escanea el comportamiento de los archivos activos y también los archivos en ubicaciones donde normalmente reside el malware, en busca de actividad sospechosa. Sigue los pasos que detallamos a continuación:

  1. Descarga Emsisoft Emergency Kit a través del siguiente enlace: Emsisoft Emergency Kit descarga
  2. Haz doble clic en el archivo de instalación de “EmsisoftEmergencyKit.exe” para iniciar el proceso de instalación y, posteriormente, en el botón "Instalar".

Emsisoft - ejecutable

Emsisoft - instalar

  1. Abre la carpeta "EEK" que contiene el programa, en este caso, la ruta es: (C:\EEK). Para iniciar Emsisoft haz clic en el archivo "Start Emsisoft Emergency Kit".

Emsisoft - scanner

Es posible que aparezca un cuadro de diálogo de control de cuentas de usuario que pregunte si deseas ejecutar este archivo. Si esto ocurre, haz clic en "Sí" para continuar con la instalación.

  1. Cuando se inicie Emsisoft Emergency Kit haz clic en "Analizar y limpiar".

Emsisoft - analizar y limpiar

  1. En la siguiente pantalla elige la opción “Análisis de programas maliciosos”.

Emsisoft - análisis de programas maliciosos

  1. El proceso de análisis puede tardar unos minutos.

Emsisoft - proceso de análisis

  1. Cuando el escaneo haya terminado, se presentará una pantalla informando de los archivos maliciosos detectados en el ordenador. Para eliminar estos archivos haz clic en "Cuarentena seleccionada".
  2. Una vez finalizado el proceso de eliminación del malware, es posible que Emsisoft Emergency Kit tenga que reiniciar el ordenador. Haz clic en el botón "Reiniciar" para llevar a cabo el reinicio.

Cuando el proceso se haya completado puedes cerrar Emsisoft y continuar con el resto de las instrucciones.

5. Restaurar los archivos cifrados por el ransomware

Desafortunadamente, no siempre es posible recuperar los archivos cifrados por un ransomware porque no se dispone de la clave privada que se necesita para descifrarlos. No obstante, a continuación detallamos tres métodos, que se pueden utilizar para intentar recuperar los archivos.

Antes de nada, asegúrate de eliminar el malware del sistema, de lo contrario, podrías bloquearlo o cifrar los archivos reiteradamente.

Método 1: buscar una herramienta de descifrado del ransomware

Puede que en este momento no haya ninguna herramienta de descifrado disponible para el tipo de ransomware que ha infectado tu dispositivo. Sin embargo, la comunidad de ciberseguridad está trabajando constantemente para crear herramientas de descifrado de ransomware, por lo que puedes intentar buscar periódicamente en estos portales por si hubiese actualizaciones:

Método 2: recuperar tus archivos con herramientas de recuperación de datos

En este procedimiento, instalaremos e intentaremos recuperar los archivos cifrados con Recuva, una herramienta gratuita de recuperación de datos:

  1. Descarga la versión gratuita de Recuva a través del siguiente enlace: Recuva descarga  
  2. Haz doble clic en el archivo de instalación “rcsetup153.exe” para iniciar el proceso de instalación y sigue las indicaciones en pantalla para instalar el programa.

Recuva - setup

Recuva - setup

  1. Cuando Recuva se inicie mostrará un asistente que te guiará a través de diferentes opciones de recuperación. Para iniciar este asistente haz clic en "Run Recuva".

Recuva - run

  1. En la siguiente pantalla haz clic en "Next" ("Siguiente").

Recuva - wizard

  1. Ahora Recuva preguntará qué tipo de archivos quieres recuperar. Haz clic en “All Files” ("Todos los archivos") y luego en “Next” ("Siguiente").

Recuva - wizard

  1. En la siguiente pantalla se te preguntará dónde se encuentran los archivos que quieres recuperar. Selecciona “I’m not sure” ("No estoy seguro") para buscar en todas las carpetas de tu ordenador y haz clic en “Next” ("Siguiente").

Recuva - no estoy seguro

  1. A continuación, haz clic en “Start” ("Iniciar") para comenzar el escaneo.

Recuva - no estoy seguro

  1. Recuva escaneará tu equipo y, una vez haya terminado, mostrará una lista de todos los archivos que fueron detectados. Selecciona las casillas de verificación al lado del archivo o archivos que deseas restaurar. El color del punto, junto al nombre del archivo, indica las posibilidades de una recuperación exitosa (verde para excelente, naranja para aceptable y rojo para improbable).

Recuva - recuperar

  1. Una vez hayas seleccionado los archivos que deseas recuperar, haz clic en “Recover” ("Recuperar"). Escoge un destino para guardar los archivos recuperados y luego haz clic en "Aceptar".

Recuva - aceptar

Otras herramientas que se pueden usar en este método son:

Método 3: restaurar tus archivos de una copia anterior

El ransomware intentará eliminar todas las copias ocultas (shadow copies), pero afortunadamente, la infección no siempre es capaz de eliminarlas, por lo que deberías intentar restaurar tus archivos con este método:

  1. Descarga ShadowExplorer a través del siguiente enlace: ShadowExplorer descarga
  2. Haz doble clic en el archivo “ShadowExplorer-x.x-setup.exe” para iniciar el proceso de instalación, elige el idioma español y sigue las indicaciones en pantalla, como muestran las imágenes, para instalar el programa.

 

Shadow setup

Shadow - instalar

Shadow - Acuerdo de licencia

Shadow examinar

Shadow - listo instalar

  1. Abre ShadowExplorer y, posteriormente, desde la barra superior selecciona la unidad en la que se encuentran los archivos que deseas guardar. A continuación, selecciona una de las copias disponibles anteriores a la infección.

Shadow - copias disponibles

  1. Una vez el programa haya encontrado una copia del archivo o carpeta original, haz clic con el botón derecho del ratón y selecciona "Exportar". Una ventana te preguntará dónde quieres guardar el archivo o la carpeta.

Shadow - exportar

Otra herramienta que se puede utilizar en este método es:

Ahora tu equipo debería estar libre de malware y puede que hayas recuperado tu información, a pesar de no tener copia de seguridad, o puedas conseguirlo en un futuro próximo. Además de la información proporcionada en esta guía, puedes consultar la sección “Ayuda ransomware, con más recomendaciones tanto reactivas como preventivas para proteger tu información y, por lo tanto, tu empresa.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad