Sufrir una infección de ransomware significa perder la capacidad de utilizar el sistema operativo o descubrir que tus archivos han sido cifrados. Por lo general, los delincuentes detrás de estos ataques exigen el pago de un rescate para descifrar la información que han tomado como rehén. El ransomware puede introducirse en un dispositivo de muchas maneras. Las vías más comunes son el spam, las descargas con “agregados sorpresa” y los sitios web maliciosos que infectan el equipo cuando se los visita. El ransomware puede afectar tanto a empresas como a usuarios hogareños. Existen varias medidas de protección contra los ataques de ransomware; dos de las más importantes, sin dudas, son ejercer la cautela y usar el software adecuado. Un ataque de ransomware podría hacerte perder toda tu información, grandes sumas de dinero o ambas cosas.
Cómo se detecta el ransomware
¿Cómo saber si un equipo está infectado? Estas son algunas señales que permiten detectar un ataque de ransomware:
- Alertas del antivirus. La aplicación antivirus del dispositivo (si nada ni nadie la ha deshabilitado) puede ser la primera en detectar una infección de ransomware.
- Cambios en las extensiones de los archivos. Una extensión típica para una imagen, por dar un ejemplo, es “.jpg”. Si notas que esta extensión ha cambiado por otra (una combinación de letras que no reconoces), puede que hayas sufrido una infección de ransomware.
- Cambios en los nombres de los archivos. ¿Has notado que tus archivos ya no tienen el nombre que les diste originariamente? Cuando un programa malicioso cifra un archivo, no es atípico que le cambie el nombre. Si notas un cambio así, puede que haya un problema.
- Mayor uso del procesador y del disco. Si te percatas de que el procesador o el disco están trabajando más de lo usual, podría haber una aplicación maligna operando en segundo plano.
- Tráfico de red dudoso. Las comunicaciones entre una aplicación maligna y los servidores del atacante o delincuente pueden generar tráfico de red sospechoso.
- Archivos cifrados. Si la infección se encuentra en una etapa avanzada, descubrirás que ya no puedes abrir tus archivos.
Por último, si ves una ventana en la que te exigen el pago de un rescate, puedes dar por seguro que tu dispositivo está infectado. Cuanto antes te percates de un ataque, más fácil te será combatirlo. Detectar a tiempo una infección con un troyano de cifrado te ayudará a determinar qué tipo de ransomware se ha introducido en el dispositivo. Una vez que comienza el proceso de cifrado, muchos troyanos se borran a sí mismos para evitar que se los analice y se los descifre.
Mi dispositivo está infectado. ¿Qué puedo hacer?
Existen dos clases básicas de ransomware: ransomware de bloqueo y ransomware de cifrado. El primero bloquea la pantalla del equipo; el segundo “solamente” cifra archivos individuales. En ambos casos, las víctimas pueden hacer una de tres cosas:
- pagar el dinero del rescate y confiar en que los delincuentes serán honrados y descifrarán los archivos;
- intentar eliminarel malware con alguna herramienta disponible para el caso;
- dejar el dispositivo “en cero”, como si fuera recién comprado.
Cómo eliminar un troyano de cifrado y recuperar la información cifrada
En la lucha contra una infección, importan tanto el tipo de ransomware como el momento en el que se detecta el ataque. No todas las clases de ransomware pueden eliminarse y no siempre es posible restaurar el acceso a los archivos que se han cifrado. Te contamos sobre tres maneras en las que puedes pelear contra una infección.
Detección de ransomware: cuanto antes, mejor
Si detectas una infección de ransomware antes de que los extorsionadores te exijan dinero, correrás con la ventaja de poder eliminar el malware. Si eliminas el ransomware, la información que ya se haya cifrado se mantendrá en ese estado, pero al menos podrás ponerle freno a la infección. La detección temprana permitirá evitar, además, que el malware se propague a otros dispositivos y cifre aún más archivos.
Si tienes copias de seguridad de tu información en un servicio de nube o en un soporte externo, podrás usarlas para restaurar los archivos cifrados. ¿Y si no tienes una copia de seguridad? En ese caso, nuestra recomendación es que te comuniques con la empresa que haya creado tu solución de seguridad. Es posible que tengan una herramienta de descifrado específica para el ransomware que te haya afectado. Otra alternativa es visitar el sitio web del proyecto No More Ransom. Allí encontrarás recursos de ayuda para víctimas del ransomware, preparados por empresas y organizaciones del sector.
Instrucciones para eliminar ransomware de cifrado
Si has caído presa de un ataque con ransomware de cifrado, puedes hacer lo siguiente para eliminar el troyano:
Paso 1: Desconéctate de Internet
Como primera medida, desactiva todas las conexiones virtuales y físicas. Desconecta todos los dispositivos inalámbricos y con cable, cualquier disco o unidad de almacenamiento externos y todas tus cuentas de la nube. Podrás, de ese modo, impedir que el ransomware siga propagándose por la red. Si sospechas que hay otras áreas afectadas, completa para las mismas los pasos de copia de seguridad que se detallan más adelante.
Paso 2: Investiga con la ayuda de tu software de seguridad
Utiliza el software de seguridad del dispositivo para realizar un análisis antivirus. Te ayudará a identificar las amenazas. Si el análisis detecta archivos peligrosos, elimínalos o ponlos en cuarentena. Puedes borrar estos archivos a mano o permitir que el antivirus lo haga automáticamente. Si no tienes mucha experiencia, deja que se encargue el antivirus.
Paso 3: Usa una herramienta de descifrado antiransomware
Si sufriste una infección con ransomware de cifrado, necesitarás una herramienta específica para recuperar el acceso a tus archivos. Kaspersky trabaja día y noche para analizar los casos más recientes de ransomware y brindar herramientas de descifrado que ayuden a contrarrestar los ataques.
Paso 4: Restaura tu copia de seguridad
Si tienes copias de seguridad en un disco externo o en un servicio de nube, crea una copia de seguridad de los archivos que el ransomware no haya alcanzado a cifrar. Si no tienes ninguna copia de seguridad, limpiar el dispositivo y restaurar tu información será mucho más difícil. Para evitar esta situación, lo recomendable es crear copias de respaldo periódicamente. Si tiendes a olvidarte de estas cuestiones, agrega un recordatorio en el calendario o usa una solución que cree las copias y las guarde en la nube automáticamente.
Cómo eliminar ransomware de bloqueo
Cuando el ransomware bloquea la pantalla del dispositivo, el primer problema consiste en llegar a la interfaz del software de seguridad. Una posible solución es iniciar el equipo en Modo seguro; en algunos casos, este modo impide que el bloqueador de pantalla se cargue y le da a la víctima la capacidad de interactuar con el antivirus y atacar el malware.
Pagar o no pagar, esa es la cuestión
Pagar no suele serlo recomendable. Si la policía elige no negociar con los secuestradores en la vida real, tú deberías hacer lo mismo si alguien se apodera de tus archivos. ¿Por qué no se recomienda pagar? Porque no hay garantía de que los extorsionadores cumplan con descifrar tus archivos. Pagar, además, es demostrarles a los criminales que el negocio funciona e incentivarlos a seguir delinquiendo.
Si de todos modos planeas pagar lo que te piden, asegúrate de no eliminar el ransomware. Esto dependerá del tipo de ransomware o de lo que el delincuente tenga pensado para descifrar tus archivos, pero puede que lo necesites para aplicar un código de descifrado. Si eliminas el malware antes de tiempo, es posible que de nada te sirva el código por el que tanto habrás pagado. Ahora bien, si te envían un código de descifrado y efectivamente funciona, asegúrate entonces, en cuanto tus archivos estén descifrados, de eliminar el ransomware del equipo.
Cómo atacar cada clase de ransomware
Existen muchas clases diferentes de ransomware. Algunas pueden desinstalarse con unos pocos clics. Otras son notablemente más complejas y eliminarlas es mucho más laborioso.
Según la clase de ransomware, tendrás diferentes opciones para deshacerte de la infección y descifrar tus archivos. No existen herramientas de descifrado universales que puedas utilizar para todas las variedades.
Para eliminar correctamente una infección de ransomware, debes poder responder las siguientes preguntas:
- ¿Qué clase de virus ha infectado el dispositivo?
- ¿Existe una herramienta de descifrado para este caso? ¿Cuál es?
- ¿Cómo se introdujo el virus en el sistema?
En un dispositivo infectado con Ryuk, la vía de acceso pudo haber sido Emotet, en cuyo caso habrá un modo particular de lidiar con el problema. En infecciones con Petya, puede bastar con usar el Modo seguro para limpiar el sistema. Aquí encontrarás más información sobre las distintas variedades de ransomware.
Conclusión
Aunque se tomen todas las precauciones, nunca se puede estar completamente a salvo de los ataques de ransomware. Si ocurre lo peor y caes presa de uno de estos ataques, contar con software de seguridad excelente como el de Kaspersky, haberte preparado de antemano y proceder con cautela te serán de gran ayuda para mitigar las consecuencias. Saber cuáles son los síntomas de un ataque de ransomware y mantener la guardia en alto te permitirán detectar y atacar una infección con la mayor antelación posible. Si ya te han pedido que pagues un rescate, sabes ahora que tienes distintas opciones para responder según lo exijan las circunstancias. Nunca olvides que crear copias de seguridad periódicamente te ayudará a minimizar las consecuencias de cualquier ataque.