{"id":2851,"date":"2019-11-23T17:20:44","date_gmt":"2019-11-23T23:20:44","guid":{"rendered":"https:\/\/www.jorgealdana.pro\/blog\/?p=2851"},"modified":"2019-11-23T17:20:50","modified_gmt":"2019-11-23T23:20:50","slug":"que-es-y-como-eliminar-el-ransomware","status":"publish","type":"post","link":"https:\/\/www.jorgealdana.pro\/blog\/seguridad\/que-es-y-como-eliminar-el-ransomware\/","title":{"rendered":"\u00bfQu\u00e9 es? y \u00bfc\u00f3mo eliminar el Ransomware?"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">En 2011 habl\u00e9 sobre las 8 amenazas m\u00e1s peligrosas para la seguridad inform\u00e1tica y dentro del top se encontraba el <strong>Ramsomware<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Varios a\u00f1os atr\u00e1s cuando programaba malwares, una t\u00e9cnica de Spread (propagaci\u00f3n) efectiva era sustituir los archivos contenidos en un Pendrive (USB) por un malware (exe) con los mismos nombres de los archivos originales, a su vez, los archivos originales eran movidos dentro de un folder oculto, de tal manera que el usuario ejecutara siempre el malware y el malware a su vez al archivo original. Esta t\u00e9cnica naci\u00f3 debido a que el famoso \u00abautorun.inf\u00bb dej\u00f3 de ser implementado en las nuevas generaciones de sistemas operativos. Pero, cuando los antivirus detectaban el malware, eliminaban los \u00abexe\u00bb de tal manera que el usuario pensaba que sus archivos hab\u00edan desaparecido, pero en realidad estaban ocultos en el folder. A grandes rasgos la operaci\u00f3n era de la siguiente manera:<\/p>\n\n\n\n\n\n\n\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"542\" height=\"208\" src=\"https:\/\/484c2a6d15c399b70beb-b1e2a15a3df201703b71bb9b31acda05.ssl.cf5.rackcdn.com\/2019\/11\/malware.jpg\" alt=\"\" class=\"wp-image-2853\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Aunque esto no es considerado \u00abRamsomware\u00bb, el sentimiento de frustraci\u00f3n que se obtiene al final es el mismo: el usuario extraviaba su informaci\u00f3n; recuperar la informaci\u00f3n era sencillo, bastaba con cambiar las opciones de visualizaci\u00f3n de Windows para \u00abmostrar carpetas y archivos ocultos\u00bb.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">El Ramsomware no es tan sencillo de eliminar. Pero antes que todo:<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 es el Ramsomware?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">El Ramsomware es un malware que \u00absecuestra\u00bb los archivos de usuario contenidos en un dispositivo de almacenamiento (Disco Duro o Pendrive) cifrando \/ encriptando con algoritmos muy sofisticados (generalmente AES-256 o RSA) y solicitando un \u00abrescate\u00bb a modo de extorsi\u00f3n (generalmente dinero virtual como criptomonedas) a cambio de recuperar los archivos originales. A diferencia del m\u00e9todo que mencion\u00e9 al inicio, el<strong> Ramsomware modifica los archivos haci\u00e9ndolos ilegibles<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">El Ramsomware es usado por los ciberdelincuentes para robar dinero, por lo cual forma parte de las ciberextorsiones a las cuales estamos expuestos en Internet. Existen cientos de variaciones del Ramsomware y cada uno de ellos depende del ingenio de los ciberdelincuentes; pero en su mayor\u00eda este es el ciclo de vida del Ramsomware:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Infecci\u00f3n<\/li><li>Persistencia (Run)<\/li><li>Notificaci\u00f3n (Beacon)<\/li><li>Escaneo y Encriptaci\u00f3n<\/li><li>Spread<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">1. Infecci\u00f3n<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La infecci\u00f3n puede ser por diversos medios, puede ser por un Pendrive (USB) infectado, una m\u00e1quina infectada en nuestra red o por ejecutar programas pirata o de correos falsos. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Al ejecutarse el virus intentar\u00e1 ejecutarse con privilegios elevados, algo que casi siempre el usuario otorga, posteriormente buscar\u00e1 si no existe una instancia previamente instalada del virus, en caso contrario desplegar\u00e1 las actividades para instalarse. A veces el ataque puede ser con m\u00faltiples malwares, siendo uno de los m\u00e1s recurrentes para esta fase un \u00abdownloader\u00bb. Este malware descargar\u00e1 una versi\u00f3n del Ramsomware en Internet y la ejecutar\u00e1.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La raz\u00f3n de lo anterior es que es m\u00e1s dif\u00edcil para los antivirus identificar acciones por eur\u00edstica cuando existen m\u00faltiples aplicaciones con funcionalidades separadas, por ejemplo: Un <strong>downloader <\/strong>funciona exactamente igual que un sistema de Uptates de cualquier software, sin embargo, un downloader analizar\u00e1 la marca de antivirus que tenemos instalado para descargar una versi\u00f3n de Ramsomware que no se encuentre en las firmas del antivirus que tenemos instalado.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"867\" height=\"256\" src=\"https:\/\/484c2a6d15c399b70beb-b1e2a15a3df201703b71bb9b31acda05.ssl.cf5.rackcdn.com\/2019\/11\/ramsom.jpg\" alt=\"\" class=\"wp-image-2856\"\/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">2. Persistencia<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Si el Ramsomware se encuentra <strong>FUD <\/strong>(Fully undetectable) y logra ejecutarse despu\u00e9s de la fase uno, entonces intentar\u00e1 generar persistencia (<strong>Loader<\/strong>) para ello, existen diversos m\u00e9todos pero usualmente se utilizan los siguientes:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>A\u00f1adiendo un valor al registro de Windows (SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run)<\/li><li>Copi\u00e1ndose al directorio del Men\u00fa inicio (C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\StartUp)<\/li><li>A trav\u00e9s de la modificaci\u00f3n de programas existentes instalados (<strong>DLL injections o Joiners<\/strong>)<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Logrado el \u00abLoader\u00bb se copiar\u00e1 a folders del sistema con nombres que sean similares a procesos o servicios conocidos, dependiendo el sistema operativo, intentar\u00e1 deshabilitar opciones de gesti\u00f3n como el administrador de tareas y tambi\u00e9n intentar\u00e1 <strong>deshabilitar el Firewall<\/strong> por medio de una terminal oculta (netsh firewall set opmode mode=disable) o en su defecto agregar reglas personalizadas que permitan la comunicaci\u00f3n con los servidores malandros.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Notificaci\u00f3n (Beacon)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Posterior a instalarse y ejecutarse, el malware intentar\u00e1 enviar su estado a los servidores malandros as\u00ed como datos sobre la computadora infectada. Los malwares avanzados encriptan su propia comunicaci\u00f3n (<strong>AES, 3DES, XOR o RSA<\/strong>) y en algunas ocasiones utilizan certificados digitales autofirmados para transferir la informaci\u00f3n.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La informaci\u00f3n que pueden enviar a los servidores es variable y depende de los programadores del Ramsomware, pero en general se considera:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>ID de la victima<\/li><li>Direcci\u00f3n IP<\/li><li>Sistema Operativo<\/li><li>Lista de discos as\u00ed como su tama\u00f1o<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Esto sirve ya que los delincuentes inform\u00e1ticos utilizan servidores en donde se almacenan las claves de encriptaci\u00f3n las cuales sirven para regresar los archivos a su forma original. Esto quiere decir que el Ramsomware, comprobar\u00e1 cada determinado tiempo el estatus del \u00abpago\u00bb y en caso de encontrar un pago, proceder\u00e1 a la desencriptaci\u00f3n de los archivos.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"611\" height=\"126\" src=\"https:\/\/484c2a6d15c399b70beb-b1e2a15a3df201703b71bb9b31acda05.ssl.cf5.rackcdn.com\/2019\/11\/canalcifrado.jpg\" alt=\"\" class=\"wp-image-2866\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Al final y si la comunicaci\u00f3n con el servidor es correcta entonces proceder\u00e1 al paso n\u00famero 4. Sin embargo, cabe mencionar que en algunas ocasiones el Ramsonware resulta ser \u00abfalso\u00bb, esto quiere decir que sus programadores en realidad, nunca tuvieron la intenci\u00f3n de \u00abofrecer el servicio\u00bb para desencriptar la informaci\u00f3n de forma automatizada, estos resultan ser los m\u00e1s peligrosos, ya que la informaci\u00f3n pr\u00e1cticamente se encuentra perdida.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pero de igual manera puede suceder que los malandros, te proporcionen un ejecutable externo al Ramsomware el cual almacenan en una cuenta de mega, Google drive o Dropbox, y que \u00abrepondr\u00e1\u00bb los archivos a su forma original, esto despu\u00e9s de que ellos comprueben que hayas hecho el dep\u00f3sito. O tambi\u00e9n puede ocurrir que el servidor malandro donde ellos llevaban la gesti\u00f3n haya sido suspendido por el proveedor, al darse cuenta del uso indebido que le daban, lo que har\u00eda a\u00fan m\u00e1s dif\u00edcil la desencriptaci\u00f3n de los archivos originales.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Escaneo y Encriptaci\u00f3n<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Justo en este momento inician las actividades \u00abcore\u00bb por el cual se conoce mundialmente al Ramsomware. Inicialmente el malware matar\u00e1 (<strong>Killing<\/strong>) todos los procesos que pudieran tener \u00abbloqueados\u00bb o abiertos los archivos en ese momento (winword.exe, excel.exe, outlook.exe, powerpnt.exe por ejemplo), pero incluso aplicaciones de bases de datos como:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>msftesql.exe<\/li><li>sqlagent.exe<\/li><li>sqlbrowser.exe<\/li><li>sqlservr.exe<\/li><li>sqlwriter.exe<\/li><li>mysqld.exe<\/li><li>mysqld-nt.exe<\/li><li>oracle.exe<\/li><li>ocssd.exe<\/li><li>dbsnmp.exe<\/li><li>synctime.exe<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Despu\u00e9s de cerrar todas las aplicaciones el Ramsomware intentar\u00e1 eliminar los \u00abvolume shadow copies\u00bb (b\u00e1sicamente los snapshots de restauraci\u00f3n de Windows) de tal manera que no se puede utilizar esta opci\u00f3n posterior a cifrar los archivos del usuario.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Justo despu\u00e9s empezar\u00e1 el escaneo de archivos a cifrar, generalmente esto se hace mediante el escaneo de las unidades disponibles al momento identificando las extensiones, las cuales pueden ser pero no se limitan a:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">1cd 3ds 3fr 3g2 3gp 7z accda accdb accdc accde accdt accdw adb adp ai ai3 ai4 ai5 ai6 ai7 ai8 anim arw as asa asc ascx asm asmx asp aspx asr asx avi avs backup bak bay bd bin bmp bz2 c cdr cer cf cfc cfm cfml cfu chm cin class clx config cpp cr2 crt crw cs css csv cub dae dat db dbf dbx dc3 dcm dcr der dib dic dif divx djvu dng doc docm docx dot dotm dotx dpx dqy dsn dt dtd dwg dwt dx dxf edml efd elf emf emz epf eps epsf epsp erf exr f4v fido flm flv frm fxg geo gif grs gz h hdr hpp hta htc htm html icb ics iff inc indd ini iqy j2c j2k java jp2 jpc jpe jpeg jpf jpg jpx js jsf json jsp kdc kmz kwm lasso lbi lgf lgp log m1v m4a m4v max md mda mdb mde mdf mdw mef mft mfw mht mhtml mka mkidx mkv mos mov mp3 mp4 mpeg mpg mpv mrw msg mxl myd myi nef nrw obj odb odc odm odp ods oft one onepkg onetoc2 opt oqy orf p12 p7b p7c pam pbm pct pcx pdd pdf pdp pef pem pff pfm pfx pgm php php3 php4 php5 phtml pict pl pls pm png pnm pot potm potx ppa ppam ppm pps ppsm ppt pptm pptx prn ps psb psd pst ptx pub pwm pxr py qt r3d raf rar raw rdf rgbe rle rqy rss rtf rw2 rwl safe sct sdpx shtm shtml slk sln sql sr2 srf srw ssi st stm svg svgz swf tab tar tbb tbi tbk tdi tga thmx tif tiff tld torrent tpl txt u3d udl uxdc vb vbs vcs vda vdr vdw vdx vrp vsd vss vst vsw vsx vtm vtml vtx wb2 wav wbm wbmp wim wmf wml wmv wpd wps x3f xl xla xlam xlk xlm xls xlsb xlsm xlsx xlt xltm xltx xlw xml xps xsd xsf xsl xslt xsn xtp xtp2 xyze xz zip <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En ese momento el Ramsomware encriptar\u00e1 el archivo del usuario a\u00f1adiendo un archivo que puede ser html o txt que se llame igual que el archivo original, sin embargo dentro de \u00e9sta, se encuentran las instrucciones para conectarse a un sitio web en la red <strong>TOR <\/strong>y en donde se detallar\u00e1n las instrucciones para el \u00abrescate\u00bb.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"578\" height=\"237\" src=\"https:\/\/484c2a6d15c399b70beb-b1e2a15a3df201703b71bb9b31acda05.ssl.cf5.rackcdn.com\/2019\/11\/encriptado.jpg\" alt=\"\" class=\"wp-image-2868\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Cada delincuente inform\u00e1tico tiene sus m\u00e9todos para extorsionar, pero el m\u00e9todo m\u00e1s com\u00fan ser\u00e1 la solicitud de una transferencia de <strong>Bitcoins <\/strong>(los BitCoins son una moneda criptogr\u00e1fica, descentralizada) y al d\u00eda de hoy 1 Bitcoin es igual a $139,927.05 pesos mexicanos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Al finalizar la encriptaci\u00f3n de archivos enviar\u00e1 el estatus al servidor malandro. En este punto hemos perdido nuestros archivos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">5. Spread<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Por \u00faltimo pero para nada menos importante, el malware intentar\u00e1 propagarse, y esto lo hace de diferentes formas:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Por medio de pendrives (USB) conectados a la computadora infectada.<\/li><li>Por medio de <strong>ZeroDays <\/strong>(vulnerabilidades que por lo general son desconocidas para la gente y el fabricante del producto, es decir a\u00fan no hay parches)<strong> <\/strong>y el cual el malware pueda explotar dentro de la red del usuario a otras computadoras.<\/li><li>Por medio de Carpetas compartidas y sistemas de almacenamiento en la nube (Google Drive, Dropbox, OneDrive, etc.)<\/li><li>Robo y suplantaci\u00f3n de cuentas de correo electr\u00f3nico.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">El Ramsomware se hizo famoso gracias a esta fase, el <strong>Spread<\/strong> el 12 de mayo de 2017 WannaCry infect\u00f3 a m\u00e1s de 230,000 computadoras en m\u00e1s de 150 pa\u00edses, esto fue gracias a una vulnerabilidad de tipo Zero-Day (en aquel momento) llamada EternalBlue (CVE-2017-0144) el cual fue desarrollado y explotado por nada m\u00e1s y nada menos que la Agencia de Seguridad Nacional de los Estados Unidos (NSA).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Esta vulnerabilidad que explotaba el WannaCry, permit\u00eda propagarse por la red y debido a que no exist\u00edan parches, fue muy f\u00e1cil propagarse.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Caso PEMEX<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La noticia del mes, en resumen, se infectaron con Ramsomware y los ciberdelincuentes ped\u00edan 565 bitcoins, que equivalen a $79,011,982.52, pero cerraremos en $80 millones de pesos mexicanos.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"463\" height=\"448\" src=\"https:\/\/484c2a6d15c399b70beb-b1e2a15a3df201703b71bb9b31acda05.ssl.cf5.rackcdn.com\/2019\/11\/PEMEX.jpg\" alt=\"\" class=\"wp-image-2873\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">\u00bfQu\u00e9 es lo preocupante de esto? simple, que <strong>no estamos preparados para una guerra inform\u00e1tica<\/strong>, somos vulnerables. PEMEX ofrece una gran cantidad de empleos directos e indirectos y contribuye, con un 37% de los ingresos del sector p\u00fablico <strong>del pa\u00eds<\/strong> seg\u00fan el INEGI; eso quiere decir que si PEMEX fuera secuestrado en su totalidad, M\u00e9xico tendr\u00eda serios, pero muy serios problemas econ\u00f3micos y sociales.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Lo peor de lo anterior es que probablemente el ataque no fue dirigido, es decir, que se infectaron \u00absin querer\u00bb, por un usuario descuidado o un evento desmedido, pero si un pa\u00eds con ej\u00e9rcitos inform\u00e1ticos decidiera atacarnos&#8230;bueno&#8230; bye bye M\u00e9xico.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En la actualidad existen Tecnolog\u00edas con inteligencia artificial que permiten la identificaci\u00f3n de ataques m\u00e1s all\u00e1 de la eur\u00edstica y que por lo suscitado, parece que PEMEX carece de ello.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 debo hacer si me infecto con Ramsomware?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Depende, si te has percatado que tus archivos est\u00e1n siendo encriptados, pero no han sido todos en tu computadora <strong>ap\u00e1gala inmediatamente<\/strong> (botonazo), ya que si lo haces con la opci\u00f3n de apagado normal el Ramsoware podr\u00eda evitar el apagado desde Windows y no se podr\u00e1 apagar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Posteriormente <strong>no la enciendas<\/strong>, lo m\u00e1s recomendable es que lo lleves a un centro de reparaci\u00f3n de equipos especializado y les indiques que tu m\u00e1quina tiene Ramsomware, pero que interrumpiste el proceso de Encriptaci\u00f3n, entonces ellos deber\u00e1n extraer el disco duro y tratar\u00e1n de extraer la informaci\u00f3n que no le dio tiempo al malware de ser encriptada. Si tu equipo se encendiera de nuevo se completar\u00eda la encriptaci\u00f3n dej\u00e1ndote sin archivos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si no corriste con tanta suerte, evita que alguien m\u00e1s se infecte y<strong> desconecta inmediatamente tu computadora de la red<\/strong> apaga tu tarjeta de red si es WIFI o desconecta el cable de red si es Ethernet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si has llegado hasta este punto significa que tu antivirus no tiene la firma del malware, por lo que puede ser variante de un Ramsomware existente o ser uno nuevo. Si es un Ramsomware nuevo, lamento informarte que no habr\u00e1 forma de desencriptarlo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En caso que fuera una variante, existe una posibilidad pero es lejana, de poder recuperar tus archivos; cabe mencionar que aunque instalaras un antivirus en este punto que SI detectara el Ramsomware, <strong>no tendr\u00e1 la capacidad de recuperar tus archivos originales<\/strong>. \u00danicamente tendr\u00e1 la capacidad de eliminar el malware de tu equipo evitando que encripte m\u00e1s archivos de tu sistema.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Identifica que Ramsomware tienes<\/strong>, para ello elige cualquier archivo encriptado y s\u00fabelo a <a rel=\"noreferrer noopener\" aria-label=\"https:\/\/id-ransomware.malwarehunterteam.com (se abre en una nueva pesta\u00f1a)\" href=\"https:\/\/id-ransomware.malwarehunterteam.com\" target=\"_blank\">https:\/\/id-ransomware.malwarehunterteam.com<\/a> el servicio es gratuito y no servir\u00e1 para recuperar tus archivo pero si para informarte el Ramsomware que tienes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Para intentar recuperar tus archivos<\/strong> ingresa a <a rel=\"noreferrer noopener\" aria-label=\"https:\/\/www.nomoreransom.org\/es\/index.html (se abre en una nueva pesta\u00f1a)\" href=\"https:\/\/www.nomoreransom.org\/es\/index.html\" target=\"_blank\">https:\/\/www.nomoreransom.org\/es\/index.html<\/a> y sube cualquier archivo encriptado\/cifrado, si corres con mucha suerte, los astros se alinean y Dios se apiada de tu alma, existir\u00e1 una herramienta de descifrado para tu Ramsomware.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Actualmente y gracias al proyecto NoMoreRansom es posible desencriptar\/descrifrar los siguientes Ramsomwares:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">777, AES_NI, Agent.iih, Alcatraz, Alpha, Amnesia, Amnesia2, Annabelle, Aura, Aurora, AutoIt, AutoLocky, Avest, BTCWare, BadBlock, BarRax, Bart, BigBobRoss, Bitcryptor, CERBERV1, Chimera, Coinvault, Cry128, Cry9, CrySIS, Cryakl, Crybola, Crypt888, CryptON, CryptXXXV1, CryptXXXV2, CryptXXXV3, CryptXXXV4, CryptXXXV5, CryptoMix, Cryptokluchen, DXXD, Damage, , Democry, Derialock, Dharma, EncrypTile, Everbe1.0, FenixLocker, FilesLockerv1andv2, FortuneCrypt, Fury, GalactiCryper, GandCrab(V1,V4andV5uptoV5.2versions), GetCrypt, Globe, Globe\/Purge, Globe2, Globe3, GlobeImposter, Gomasom, HKCrypt, Hakbit, HiddenTear, HildaCrypt, Iams00rry, InsaneCrypt, JSWorm2.0, JSWorm4.0, Jaff, Jigsaw, LECHIFFRE, LambdaLocker, Lamer, Linux.Encoder.1, Linux.Encoder.3, Loocipher, Lortok, Mac, Marlboro, MarsjokeakaPolyglot, MegaLocker, MerryX-Mas, MirCop, Mira, Mole, Muhstik, Nemty, Nemucod, NemucodAES, Nmoreira, Noobcrypt, Ozozalocker, PHPware, Paradise, Pewcrypt, Philadelphia, Planetary, Pletor, Popcorn, Puma, Pylocky, Rakhni, Rannoh, Rotor, SNSLocker, Shade, Simplocker, Stampado, Syrk, Teamxrat\/Xpan, TeslaCryptV1, TeslaCryptV2, TeslaCryptV3, TeslaCryptV4, Thanatos, Trustezeb, WannaCryFake, Wildfire, XData, XORBAT, XORIST, Yatron, ZQ, ZeroFucks y djvu<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si ya sabes que Ramsomware tienes puedes descargar las herramientas de descifrado aqu\u00ed: <a rel=\"noreferrer noopener\" aria-label=\"https:\/\/www.nomoreransom.org\/es\/decryption-tools.html (se abre en una nueva pesta\u00f1a)\" href=\"https:\/\/www.nomoreransom.org\/es\/decryption-tools.html\" target=\"_blank\">https:\/\/www.nomoreransom.org\/es\/decryption-tools.html<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Si has llegado hasta este punto y no corriste con suerte, <strong>no hay mucho que puedas hacer al respecto<\/strong>. NO voy a sugerirte que realices el pago por el rescate, jam\u00e1s, ya que de hacerlo y realizaras el pago, est\u00e1s arriesgando tu propia econom\u00eda ya que no hay ninguna certeza de que los delincuentes inform\u00e1ticos vayan a descifrar tus archivos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Por \u00faltimo, y si nada de lo anterior funcion\u00f3 lo \u00fanico que queda por hacer es que extraigas tu disco duro y en otra m\u00e1quina intentes recuperar tus archivos con softwares como \u00abRecuva\u00bb, \u00abEasy recovery\u00bb o similares. Es dif\u00edcil que funcione, pero peor es nada.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En caso que usaras Dropbox o Google Drive y ya est\u00e9n encriptados tus archivos, tienes la maravillosa opci\u00f3n de ver \u00abversiones anteriores\u00bb de tus archivos, solo debes entrar al portal web de cada uno para ubicarlos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Y en caso que no puedas recuperar la originalidad de tus archivos, no los borres, resp\u00e1ldalos , tal vez en un futuro exista una herramienta que permita traerlos de vuelta.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 debo hacer para prevenir el Ramsomware?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">El peor enemigo de cualquier malware es la prevenci\u00f3n, pero no me ir\u00e9 con rodeos sobre temas que hemos tocado anteriormente, as\u00ed que estas son los puntos que debes tener en consideraci\u00f3n para evitar el Ramsomware:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Ten un respaldo de tu informaci\u00f3n In-Cloud<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Existen cientos de opciones en Internet, pero las m\u00e1s usadas son <a rel=\"noreferrer noopener\" aria-label=\"Dropbox (se abre en una nueva pesta\u00f1a)\" href=\"https:\/\/db.tt\/Wh3sy8VBA9\" target=\"_blank\">Dropbox<\/a>, <a rel=\"noreferrer noopener\" aria-label=\"Google Drive (se abre en una nueva pesta\u00f1a)\" href=\"https:\/\/drive.google.com\" target=\"_blank\">Google Drive<\/a> o <a rel=\"noreferrer noopener\" aria-label=\"OneDrive (se abre en una nueva pesta\u00f1a)\" href=\"https:\/\/onedrive.live.com\" target=\"_blank\">OneDrive <\/a>de Microsoft, estas herramientas te permiten tener sincronizada tu informaci\u00f3n y en caso que te infectes con Ramsomware, tienes la ventaja de visualizar versiones anteriores de tus archivos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Son gratuitas pero sus planes son econ\u00f3micos y as\u00ed como compartes tu cuenta de NetFlix\/Spotify, deber\u00edas considerar tener una de ellas.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Ten un respaldo en f\u00edsico en un dispositivo externo<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Siempre es bueno tener un respaldo en un dispositivo de almacenamiento externo a nuestra computadora, como un Pendrive (USB) o un disco duro externo, la ventaja es que esa informaci\u00f3n podemos cifrarla con: Veracrypt, Ciphershed, DiskCryptor.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Ten un respaldo en un NAS<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">No es econ\u00f3mico, pero como dije en el punto uno, si en casa hay varios equipos inform\u00e1ticos o en tu empresa no hacen respaldos, adquirir un NAS que funcione por RED es la mejor opci\u00f3n, funcionan al igual que Dropbox, pero f\u00edsicamente tenemos acceso a \u00e9l.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Tener un nivel b\u00e1sico de seguridad<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Y no pod\u00eda faltar mis recomendaciones de siempre:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Contrata un antivirus, los hay desde $200 pesos al a\u00f1o con licencia hasta para 3 equipos, como el Antivirus COMODO<\/li><li><a rel=\"noreferrer noopener\" aria-label=\"Identifica el correo falso y prot\u00e9gete de el (se abre en una nueva pesta\u00f1a)\" href=\"https:\/\/www.jorgealdana.pro\/blog\/seguridad\/antispam-gratuito-y-poderoso-para-windows\/\" target=\"_blank\">Identifica el correo falso y prot\u00e9gete de el<\/a><\/li><li>No instales software pirata, incluido juegos.<\/li><li>Cuida tu navegaci\u00f3n en Internet.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Mi conclusi\u00f3n es simple: Si llegaste hasta este post, probablemente te toc\u00f3 la mala, aprende de tus errores y no los cometas de nuevo, recuerda que no hay mejor seguridad que la prevenci\u00f3n personal.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En 2011 habl\u00e9 sobre las 8 amenazas m\u00e1s peligrosas para la seguridad inform\u00e1tica y dentro del top se encontraba el Ramsomware. Varios a\u00f1os atr\u00e1s cuando programaba malwares, una t\u00e9cnica de Spread (propagaci\u00f3n) efectiva era sustituir los archivos contenidos en un Pendrive (USB) por un malware (exe) con los mismos nombres de los archivos originales, a su vez, los archivos originales eran movidos dentro de un folder oculto, de tal manera que el usuario ejecutara siempre el malware y el malware a su vez al archivo original. Esta t\u00e9cnica naci\u00f3 debido a que el famoso \u00abautorun.inf\u00bb dej\u00f3 de ser implementado en <\/p>\n","protected":false},"author":1,"featured_media":2882,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"image","meta":{"footnotes":""},"categories":[14],"tags":[3085,3080,7,3083,2897,3084,3082,3078,3079,2896,3081],"class_list":["post-2851","post","type-post","status-publish","format-image","has-post-thumbnail","hentry","category-seguridad","tag-bitcoin","tag-encriptar","tag-hackers","tag-id-ramsomware","tag-malware","tag-nomoreransom","tag-pemex","tag-ramsomware","tag-spread","tag-virus","tag-wannacry","post_format-post-format-image","has_thumb"],"_links":{"self":[{"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/posts\/2851","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/comments?post=2851"}],"version-history":[{"count":25,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/posts\/2851\/revisions"}],"predecessor-version":[{"id":2883,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/posts\/2851\/revisions\/2883"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/media\/2882"}],"wp:attachment":[{"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/media?parent=2851"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/categories?post=2851"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.jorgealdana.pro\/blog\/wp-json\/wp\/v2\/tags?post=2851"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}