Cómo Realizar la Eliminación Manual de Ransomware
En este artÃculo, examinaremos más de cerca una categorÃa de malware que ha visto aumentar su popularidad en los últimos años: ransomware.
¿Qué es Ransomware?
Ransomware se puede dividir en dos tipos diferentes; screenlockers y cifradores de archivos.
Los screenlockers usualmente solo le impiden el acceso a Windows. Exigen pago para desbloquear el sistema pero no causan ningún daño real. Una estratagema particularmente popular es pretender ser un agente del orden, alegando que han detectado la presencia de actividades ilegales. Aunque engorroso, recuperarse de un ataque de ransomware de este tipo es bastante simple y es posible recuperar el acceso al sistema.
Por otro lado, los encriptadores de archivos cifran los archivos personales o el disco duro completo en la máquina de un usuario, lo que impide que el usuario acceda a sus archivos a menos que paguen el rescate. Sin embargo, no todo el ransomware de cifrado de archivos utiliza una criptografÃa sólida, por lo que en muchos casos, un usuario puede recuperar sus datos sin pagar.
Para esta publicación de blog, nos centraremos en el tipo de cifrado de archivos más común de ransomware. Dado que las familias de ransomware cambian y evolucionan constantemente, demostraremos un procedimiento de recuperación tÃpico utilizando una familia de ransomware más antigua que resultó ser un verdadero árbol de hoja perenne cuando se trata de estos tipos particulares de plagas: Xorist.
¿Qué hacer si estás Infectado?
Es la pesadilla de todos los usuarios y administradores: te has encontrado infectado con ransomware y estás mirando un mensaje en la pantalla que exige que pagues miles de dólares para descifrar tus archivos. ¿Qué deberÃas hacer? No entres en pánico Un ransomware puede presentarle un lÃmite de tiempo, pero es importante evitar tomar los pasos incorrectos, lo que podrÃa dificultar la recuperación de sus archivos.
Paso 1: Identifica las máquinas infectadas
Primero, encuentre la computadora infectada o las computadoras en su red. Este es un primer paso muy importante y debe hacerse tan pronto como note que hay una infección de ransomware. Por lo general, puede ubicar la computadora donde se originó el ransomware al verificar al propietario de los archivos de la nota de rescate en la red o compartir archivos. Una vez que haya localizado las computadoras que están infectadas, desconéctelas de la red para que el ransomware no pueda extenderse lateralmente a otras computadoras en la red y evite el cifrado de más archivos si el ransomware aún no ha finalizado.
Paso 2: Comprueba si el ransomware todavÃa está presente
En segundo lugar, una vez que los sistemas infectados se han desconectado, es importante averiguar si el ransomware aún se está ejecutando o está presente en el sistema. Si es asÃ, entonces es mejor obtener un volcado de proceso de la memoria y una copia del malware antes de limpiar el sistema. Esto es importante ya que la familia especÃfica de ransomware aún puede estar bajo análisis. Generalmente, se recomienda cargar cualquier archivo malicioso a un servicio llamado VirusTotal. Alimentado por escáneres antivirus y otras herramientas de seguridad de más de 60 proveedores de seguridad diferentes, VirusTotal puede indicarle si un archivo está limpio o proporcionar el nombre de detección si el archivo se detecta como malware.
Paso 3: Descubre con qué ransomware estás tratando
Tercero, cargue una copia de la nota de rescate y un archivo encriptado a ID-Ransomware (IDR). IDR es un servicio gratuito que ha sido entrenado para reconocer las cepas de ransomware en base a pistas dejadas en archivos cifrados y notas de ransomware. Una vez que sepa qué cepa de ransomware está tratando, es mucho más fácil ver si hay un desencriptador adecuado disponible y si hay información conocida sobre cómo se infectan las vÃctimas.
Paso 4: limpiar
Finalmente, la máquina infectada necesita ser limpiada usando el mismo enfoque que ya describimos en la primera entrega de nuestra serie de eliminación de malware.
Deep Dive: Cómo eliminar Xorist
La mayorÃa de las veces, la extracción manual no es necesaria. Ransomware a menudo elimina automáticamente ya que ya ha terminado el propósito principal de cifrar archivos y soltar una nota que exige un rescate. Dicho esto, algunos ransomware también se instalan en ubicaciones de inicio automático para encriptar cualquier información nueva que no haya sido previamente encriptada. Algún otro ransomware puede venir con otro malware, que puede causar más daño.
Dado que el ransomware evoluciona constantemente, decidimos irnos con una familia bastante antigua que todavÃa está en uso y representa una buena parte de todos los ataques de ransomware, incluso años después de su lanzamiento: Xorist. Si bien existen variantes de ransomware más sofisticadas, la mayorÃa de ellas no han demostrado el poder de permanencia de Xorist.
Xorist es un kit de construcción de ransomware que permite que incluso el cibercriminal más novato haga clic en un ransomware. Cosas como imágenes de fondo, notas de ransomware, extensiones de archivos para ser segmentados y contraseña de desbloqueo son totalmente personalizables. Escogimos una variante aleatoria de las decenas de miles de variantes de Xorist que los atacantes han generado a lo largo de los años.
Cuando mire por primera vez un sistema infectado, inmediatamente verá que el fondo se ha cambiado a una nota aterradora y todos los iconos se han transformado en calaveras.
Antes que nada, queremos verificar si el ransomware u otro malware todavÃa se está ejecutando con Process Explorer o Process Hacker . En este caso, el ransomware se cierra después de que finalizó los cambios y no se está ejecutando ningún otro malware. Sin embargo, si encuentra procesos que se ejecutan en su máquina que parecen malware, asegúrese de crear un volcado de memoria de proceso completo de ellos antes de suspenderlos o terminarlos.Para hacerlo, simplemente haga clic derecho en el proceso en la lista de procesos y seleccione "Crear archivo de volcado ..." en Process Hacker o "Crear volcado / Crear volcado completo ..." en Process Explorer.
A continuación, queremos verificar los puntos de carga (cómo la mayorÃa de los programas se pueden ejecutar al inicio) utilizando una herramienta práctica llamada Autoruns. Una vez que cargamos Autoruns, vemos un valor en la tecla Ejecutar con el mismo Ãcono de calavera que todos nuestros archivos muestran ahora también. Investigando esto más allá, mirando dónde se encuentra el archivo (en temp) y escaneándolo en VirusTotal (haga clic con el botón derecho y seleccione Enviar a VirusTotal), podemos determinar que este es probablemente nuestro archivo ransomware.
Una cosa a tener en cuenta sobre el escaneo de archivos en VirusTotal es que a veces los escáneres pueden tener falsos positivos. Por lo tanto, si un archivo tiene solo una o dos detecciones pero parece legÃtimo, no significa necesariamente que el archivo sea malicioso. En ese caso, puede ayudarnos a enviar el archivo para que podamos verlo más de cerca.
Sin embargo, en este caso, dada la cantidad de detecciones, junto con el Ãcono y la ubicación sospechosa, podemos suponer que este archivo es malicioso y es el origen de la infección. Por lo tanto, podemos eliminar la entrada de ejecución automática haciendo clic derecho en la lÃnea y seleccionando "Eliminar" o simplemente podemos deshabilitarla desmarcando la casilla de verificación en frente de la entrada.
En general, siempre que trabaje con ransomware, es una buena idea crear una copia de todos los archivos ejecutables maliciosos que haya encontrado.Simplemente puede copiarlos a todos en un directorio y luego descomprimirlos. La razón para archivar archivos maliciosos en lugar de simplemente eliminarlos es bastante simple: cuando se trata de una nueva familia de ransomware, compañÃas como la nuestra que ayuda a las vÃctimas de ransomware necesitarán el ejecutable ransomware que cifró los archivos para realizar una ingenierÃa inversa y buscar fallas en su implementación.Solo entonces podremos convertir esos defectos en un desencriptador funcional. Este proceso se vuelve mucho, mucho más difÃcil si la vÃctima ha eliminado el ejecutable ransomware.
Después de que hayamos desarmado la ejecución automática y archivado el ejecutable de ransomware, enviaremos tanto la nota de rescate como un archivo cifrado a ID-Ransomware. El proceso es sencillo y la mayorÃa de los usuarios no tendrán problemas para seguir las instrucciones en el sitio web. Sin embargo, en el caso de que le resulte difÃcil de usar, puede consultar nuestras instrucciones paso a paso aquÃ.
ID Ransomware identifica correctamente la familia ransomware para nosotros y ya sabe qué descifrador usar para recuperar nuestros archivos.
Al tratar con descifradores de ransomware, tenga en cuenta que pueden no ser perfectos. Una gran cantidad de ransomware está mal programado. Algunos directamente dañarán partes de los archivos que encriptan sin forma de recuperar las partes rotas. Lo mejor es verificar la información de uso en la página de descarga del desencriptador para averiguar si existe alguna de esas restricciones y cómo usar el desencriptador correctamente.
La mayorÃa de los descifradores, incluido el nuestro, generalmente requieren que tengas un par de archivos coincidentes que contenga un archivo cifrado y su versión original no encriptada. Muchas vÃctimas a menudo no saben cómo obtenerlas y piensan que es imposible obtener un par correspondiente. Sin embargo, dados los siguientes punteros, generalmente logran encontrar un par de archivos en muy poco tiempo:
Si hay archivos cifrados en su directorio de descargas, simplemente descargue el archivo nuevamente.
Si hay algún archivo estándar de Windows cifrado, como los fondos de pantalla predeterminados, por ejemplo, simplemente copie los mismos archivos de un sistema diferente que ejecute la misma versión de Windows.
Revise la carpeta de correos electrónicos enviados por los archivos que envió a amigos o familiares que ahora están encriptados y simplemente reciba el formulario original de su correo electrónico enviado.
Los descifradores generalmente requieren algún tiempo para realizar algunos cálculos largos a fin de determinar la clave de descifrado correcta que se utilizará. Asà que, por favor, sean pacientes mientras el descifrador hace su trabajo.
Una vez que hayamos descargado el descifrador Xorist y lo ejecutemos con un par de archivos adecuado, comenzará a hacer su ataque para romper el cifrado:
Una vez hecho, el desencriptador nos informará sobre los resultados del proceso:
Después de hacer clic en Aceptar e iniciar el proceso de descifrado, recuperamos nuestros archivos:
La mayorÃa de ransomware requerirá una limpieza adicional. Primero que nada, el fondo de pantalla. Es fácil cambiar el fondo de pantalla usando el diálogo estándar de Windows. Simplemente haga clic derecho en un espacio vacÃo en su escritorio y seleccione "Personalizar". A continuación, cambie el fondo a la que desea:
En este caso particular, el ransomware también registró su propia extensión de archivo (.cryptedx) y lo vinculó al ejecutable de ransomware. Esta es la razón por la que todos los archivos cifrados de repente tenÃan un Ãcono de calavera. Eliminar eso es un poco más complicado y requiere el uso del Editor del Registro de Windows.
Simplemente abra el Windows Registry Editor ejecutando el comando "regedit.exe". Para llegar al cuadro de diálogo "Ejecutar", presione la tecla de Windows y la tecla "R" al mismo tiempo.
Ahora navegue a la clave HKEY_CLASSES_ROOT. Esta clave de registro contiene todos los enlaces entre las extensiones de archivo y las aplicaciones a las que están vinculados. A continuación, busque la clave secundaria ".cryptedx" dentro de la clave HKEY_CLASSES_ROOT. Encontrarás algo similar a esto:
Básicamente, se pueden configurar dos extensiones de archivos en el registro.O bien la información que aplicación se utiliza se almacena directamente dentro de la sub-clave de extensión de archivo o esa información se almacena por separado y la extensión de archivo solo se vincula a esa otra entrada. La forma de determinar cuál es cuál es comprobando si la clave de extensión de archivo tiene alguna subclave. Este no es el caso aquÃ, ya que de lo contrario, tendrÃa una pequeña flecha para desplegar sus subclases en el panel de navegación de la izquierda. Asà que tomaremos nota del valor predeterminado ("NTGQBAPSQKOSXWE") y luego borraremos la clave.
A continuación, verificamos la subclave NTGQBAPSQKOSXWE. Esa es la clave que denota la aplicación que se ejecutará:
Al eliminar esa última clave, se eliminará por completo el registro de extensión colocado por el malware.
Por último, pero no por eso menos importante, tendremos que hacer algunas últimas tareas de limpieza. La mayorÃa de los descifradores conservarán las notas de rescate y los archivos cifrados en caso de que algo salga mal. Después de todo, tener una copia de seguridad cifrada es aún mejor que no tener copias de seguridad en absoluto. Sin embargo, una vez que se ha asegurado de recuperar sus archivos y de que no están dañados, se vuelven innecesarios.
Por lo tanto, en nuestro último paso, utilizamos la búsqueda de archivos de Windows para ubicar todos los archivos cifrados y todas las notas de rescate para eliminarlos:
Simplemente seleccione todo y elimÃnelo como lo harÃa con cualquier otro archivo y terminamos la eliminación completa de la infección de ransomware y la restauración de nuestros archivos.
Consejos sobre cómo evitar el ransomware
En pocas palabras, el ransomware es solo un malware común. Entonces todos los procedimientos comunes que son efectivos contra el malware normal son igual de efectivos contra el ransomware, como:
Mantenga su software y sistema operativo actualizados para evitar que se conviertan en blanco de exploits y descargas de disco.
No participe en comportamientos de alto riesgo como piratear software o abrir archivos adjuntos de correos electrónicos de fuentes que no conoce.Incluso si conoce la fuente, use el sentido común. No hay ninguna razón para que alguien envuelva una factura, confirmación de pedido o cualquier otra cosa dentro de un archivo ZIP y lo envÃe por correo electrónico, ya que la mayorÃa de los formatos de documentos ya están comprimidos. ZIP, en ese caso, no reduce el tamaño del correo electrónico, sino que simplemente se usa para pasar los filtros de archivos adjuntos que filtran los archivos adjuntos potencialmente maliciosos.
Use un programa antivirus y antimalware sólido para ayudar a mantenerse protegido.
Hay un par de pasos adicionales que puede seguir para mantenerse protegido.Las copias de seguridad son las más importantes. Si bien las copias de seguridad no lo protegen de adquirir ransomware, ayudan a mitigar el daño.La regla general para las copias de seguridad es "3-2-1". Tenga 3 copias de sus datos importantes. 2 de esas copias no deberÃan ser accesibles por su sistema. Y una de esas copias debe almacenarse fuera del sitio. Para obtener más detalles, consulte nuestra publicación en el blog sobre la importancia de las copias de seguridad también.
Una forma muy común de que los cibercriminales rompan los servidores, en particular, es a través de herramientas de acceso remoto implementadas como RDP o TeamViewer. Si está utilizando algún tipo de herramienta de acceso remoto en sus sistemas, es absolutamente crucial mantenerse vigilante cuando se trata de instalar parches de seguridad. También recomendamos utilizar contraseñas y nombres de usuario complejos que no sean fáciles de adivinar y que no se encuentren en los diccionarios de contraseñas existentes; de lo contrario, será vÃctima de un ataque de fuerza bruta por contraseña, como las miles de empresas que se convierten en vÃctimas del ransomware cada año.
Es importante no reutilizar las credenciales en ningún otro lugar, ya que los compromisos de esos sistemas y plataformas pueden llevar a compromisos de su sistema o servidor. Si puede, es una buena idea restringir el acceso a los puertos de acceso remoto solo a IP o rangos de IP especÃficos. Si eso no es una opción, cambiar el puerto del valor predeterminado a otra cosa hace que sea un poco más difÃcil para un atacante descubrir que está ejecutando el software de acceso remoto.
Por último, pero no menos importante, queremos aclarar una vez más que, en lo que respecta a los robos a través del software de acceso remoto, ningún software de protección podrá ayudarlo. La razón es que un atacante puede simplemente desinstalar o deshabilitar el software antes de ejecutar su ransomware. Por lo tanto, es absolutamente crucial que bloquee el acceso remoto a su sistema lo más estrechamente posible y que tenga contraseñas complejas en su lugar.
ALERTA DE WEBINAR: Sarah participa en un webinar de eliminación de Ransomware, que presenta una demostración en vivo de la eliminación de Ransomware presentada en esta publicación, el miércoles 22 de agosto a las 7 p. M. UTC (3 p. M. ET, 12 p. M. PT). Haga clic aquà para registrarse en el seminario web gratuito. ¡Te veo allÃ
Descargo de responsabilidad: este artÃculo y el seminario web son solo para fines de demostración. Existen multitud de variantes de ransomware que existen y pueden necesitar un enfoque diferente para la eliminación en comparación con el método presentado aquÃ, dependiendo de su propósito. Sabemos que hay excepciones para cada regla y que las cosas no siempre son asà de sencillas. Sin embargo, cubrir todas esas excepciones no cumplirÃa el propósito de esta publicación de blog. Si necesita ayuda para eliminar el malware de su computadora, puede descargar nuestro Kit de Emergencia Emsisoft y comunicarse directamente con nuestros Analistas de Malware en support@emsisoft.com.
¡Que tengas un buen dÃa (libre de malware)!
