CryptoLocker, HELP_DECRYPT,…: borran todos tus datos. Qué hacer y soluciones (Actualizado 05.2016)

Imagínate que un día arrancas tu ordenador de casa o del trabajo y éste se enciende como siempre pero no puedes abrir ninguno de tus archivos; todos dan error: fotos (incluso familiares), vídeos, trabajos hechos en Word, hojas de cálculo en Excel, PDFs, bases de datos, copias de seguridad…. ¡Todo perdido!

Y además no solo afecta a los que están en el equipo sino también a los que puedan guardarse en discos USB y en otros ordenadores de la red, incluyendo servidores. Has perdido toda la información (o, mejor dicho, secuestrada, con programas ransomware como CryptoLocker, CryptoWall,…) y quedan unos ficheros HELP_DECRYPT, HELP_RESTORE_FILES_jlmxu o similares o los archivos con extensión ecc o exx (depende del virus o malware).

Esta catástrofe, mejor dicho, “datástrofe” no es ciencia ficción. Está pasando en muchas empresas y hogares (me consta el caso de una persona que, directamente, ha perdido todo lo que tenía en su ordenador) y está causado por una de las familias de “virus”/malware más maliciosas que he visto jamás y no tiene cura, solo prevención, así que mucho cuidado. Aquí explico qué se puede hacer y conviene tomar buena nota.

Actualizado en mayo de 2016 con nuevas soluciones.

Imagen de CryptoLocker

Imagen de CryptoLocker

Llevo varias semanas “peleando” con esta clase de virus/malware (aunque hace mucho que circulan por la red) y por eso explico en este artículo en primera persona cómo funciona, qué hace y qué medidas se pueden tomar para minimizar los daños. Reitero que es algo muy muy serio.

La propagación del virus es a través de Internet. Por lo que he podido comprobar, hay diferentes variantes (me constan al menos cuatro) y la manera de infección es visitar una web que hace uso de alguna vulnerabilidad del navegador o de una extensión (por ejemplo Adobe Flash, Java, etc.) y que aprovecha para instalar el virus o bien abrir un archivo malicioso en PDF, Word, PowerPoint, etc..

Para provocar que la persona visite la web o abra el fichero que le va a infectar, circulan diferentes tipos de correos electrónicos que aparentan ser de Correos, Hacienda, Tráfico, SEUR, UPS, Colegios profesionales o incluso algunos que aparentan provenir de amigos, conocidos o personas con las que se trabaja.

Mail de Correos con virus

Mail de Correos con virus – ¡No abrir!

Este es un correo electrónico real recibido por mí el otro día (obviamente no abrí el enlace). El texto es bastante deficiente:

Asunto: Christian Delgado von Eitzen carta certificada no entregado a usted

Su paquete ha llegado 04 de mayo. Courier no pudo entregar una carta certificada a usted. Imprima la informaci’on de env’io y mostrarla en la oficina de correos para recibir la carta certificada.  

CD 337412440460

Descargar informaci’on sobre su env’io (enlace malicioso)

Si la carta certificada no se recibe dentro de los 30 d’ias laborables Correos tendr’a derecho a reclamar una indemnizaci’on a usted para ‘el est’a manteniendo en la cantidad de 8,95 euros por cada d’ia de cumplir. Usted puede encontrar la informaci’on sobre el procedimiento y las condiciones de la carta de mantener en la oficina m’as cercana. Este es un mensaje generado autom’aticamente.

Privacy

Es posible que, en nuestros sitios web y aplicaciones, recabemos informaci’on sobre sus actividades en l’inea y la utilicemos para ofrecerle publicidad sobre productos y servicios adaptada a sus intereses particulares. Esta secci’on de nuestra Aviso de Privacidad proporciona detalles y explicaciones sobre c’omo puede hacer uso de sus opciones. Es posible que vea ciertos anuncios en otros sitios web porque participamos en redes de publicidad. Las redes publicitarias nos permiten dirigir nuestros mensajes a los usuarios mediante m’etodos contextuales, basados en intereses y demogr’aficos. Estas redes hacen un seguimiento de sus actividades en l’inea durante un periodo de tiempo recabando informaci’on por medio de m’etodos autom’aticos, incluido el uso de cookies, registros de servidores web y web beacons. Las redes utilizan esta informaci’on para mostrarle anuncios que se ajusten a sus intereses particulares. La informaci’on que nuestras redes publicitarias pueden recabar incluye informaci’on sobre sus visitas a sitios web que forman parte de las redes de publicidad pertinentes, como las p’aginas o anuncios que visita y las acciones que lleva a cabo en los sitios web. Esta recopilaci’on de datos tiene lugar tanto en nuestros sitios web como en los sitios web de terceros que forman parte de las redes publicitarias. Este proceso tambi’en nos ayuda a controlar la eficacia de nuestros programas de marketing.

Haga clic aqu’i para darse de baja. (enlace malicioso)

@ Copyright 2014 Sociedad Estatal Correos y Tel’egrafos, S.A.

Aunque cada vez los hacen mejor y sin ánimo de dar ideas a estos delincuentes que crean los virus y los ataques de phishing, es inexplicable que no contraten a profesionales o nativos que sepan redactar sin faltas de ortografía.

No se debe visitar jamás un enlace en un correo o abrir un fichero si no ha sido solicitado expresamente o dudamos de su fuente. Es mejor preguntar al remitente si realmente lo ha enviado antes que exponernos a una infección, y más si es un virus de este tipo, que provoca masivas pérdidas de datos.

Una vez instalado, lo que hace el virus (CryptoLocker, CryptoWall y otras variantes) es buscar ciertos tipos de ficheros por todos los discos duros, USBs e incluso servidores y ordenadores de la red (depende de virus) y los encripta (cifra) con una contraseña, según el programa, RSA de 2048 bits, es decir, muy robusta y que un ordenador de gran capacidad tardaría muchos años en descifrar. Después de guardar el archivo cifrado, borra el original, de tal manera que lo que queda, resulta inutilizable y a efectos prácticos es como si se hubiese eliminado.

Algunas variantes del virus atacan a los ficheros de Word doc, docx, Excel xls, xlsx, PDF, fotos, vídeos, archivos comprimidos zip, etc. e incluso otras, además, a archivos de Access, copias de seguridad, etc. No dejan ninguno operativo. Muchas veces el antivirus tampoco los detecta.

Es muy grave también que el virus además busca por toda la red otros ordenadores y carpetas compartidas (sobre todo en las empresas) y si el usuario que está infectado tiene los suficientes permisos, también elimina todo, aunque no estén montadas las carpetas.

Además de los archivos cifrados, en el caso de CryptoLocker dejan también a veces un mensaje como fondo de escritorio donde avisa de la infección.

Escritorio de un PC con CryptoLocker

Escritorio de un PC con CryptoLocker

En ella informa que los ficheros han sido “secuestrados” y que si se quieren recuperar, hay que pagar una cierta cantidad de dinero, tras lo cual, supuestamente, facilitan una clave que permite recuperar, uno por uno, los archivos locales (la contraseña es única y exclusiva por cada sistema comprometido).

En otros casos que me constan, el virus, CryptoWall deja en cada carpeta cuyos contenidos ha encriptado un “recuerdito”: 4 ficheros HELP_DECRYPT (HELP_DECRYPT.png, HELP_DECRYPT.html, HELP_DECRYPT.txt y un acceso directo a la web llamado HELP_DECRYPT en el que informan que) -también hay variantes como HELP_RESTORE_FILES.txt):

Ficheros encriptados con Help Decrypt

Ficheros encriptados con Help Decrypt

Y facilitan los enlaces para acceder al pago. Por ejemplo:

Pago de CryptoWall - Ficheros encriptados con Help Decrypt

Pago de CryptoWall – Ficheros encriptados con Help Decrypt

Otras variantes del virus, modifican las extensiones de los ficheros a .ecc, después de encriptarlos.

¿Qué pasó con sus ficheros?
Todos sus ficheros fueron protegidos con la codificación persistenre RSA-2048 con la ayuda del programa CryptoWall 3.0.
Puede conocer más sobre la codificación con las claves RSA-2048 aqúi: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
¿Qué significa esto?
Significa que la estructura y los datos dentro de sus ficheros fueron cambiados irrevocablemente, no podrá trabajar con ellos,
leer o verlos, esto es lo mismo que perderlos para siempre, pero con nuestra ayuda podrá restaurarlos.
¿Cómo pasó esto?
Especialmente para Usted en nuestro servidor secreto fue generado un par de claves RSA-2048 – pública y privada.
Todos sus ficheros fueron codificados con la clave público que fue transmitido a su ordenador por medio de la red Internet.
Se puede decodificar sus ficheros solamente con la clave privada y un programa especial que están en nuestro servidor secreto.
¿Qué tengo que hacer?
Por desgracia, si no va a tomar las medidas necesarias durante el tiempo indicado, las condiciones de obtención de la clave privada y del programa especial van a cambiarse.
Si Usted aprecia sus datos, le recomendamos no perder el tiempo valioso buscando otras decisiones, ya que simplemente no existen.
Por favor, para obtener las instrucciones más concretas visite su página personal, abajo están indicadas varias direcciones que dirigen a su página:
1.—/2.—/3.—4.—
Si por algunas razones estas direcciones están inaccesibles, debe realizar los siguientes pasos:
1.Descargue y instale tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2.Después de instalación exitosa del navegador, ábralo y espere la inicialización.
3.Introduzca en la barra de direcciones: —
4.Siga las instrucciones en el sitio web.
Información útil:
Su página personal: —
Su página personal (utilizando el TOR): —
Su código personal(si abre directamente el sitio web(o sitio TOR): —

Lo curioso es que el rescate (precio), se debe pagar en Bitcoins, una moneda de Internet que es casi imposible de rastrear y el importe además no es fijo, sino que depende del interés que tengamos en los ficheros (cuanto más, más deberemos pagar, entre 400 y 1000 $, al menos, que yo haya visto). También indican que solo estará disponible por un tiempo limitado (unos pocos días).

All your important files are encrypted

All your important files are encrypted

Los autores del virus indican además de enlaces a unas webs propias para hacer el pago, otras en la red Tor, una parte de la red más clandestina.

Pagar no garantiza que faciliten una clave válida para recuperar los archivos, y no es lo más recomendable, ya que es una manera de premiar este tipo de actividades delictivas, que se deberían denunciar a las autoridades sin duda para que, al menos, sepan de su existencia.

La mejor opción para recuperar los datos es hacerlos desde una copia de seguridad, de ahí su importancia no solo en este caso sino como remedio ante casi todas las emergencias informáticas.

¿Qué se puede hacer o cómo prevenirlo?

El mejor recurso es siempre la prevención, por eso es recomendable:

  • No abrir bajo ninguna circunstancia enlaces recibidos por mail no solicitados o de dudosa procedencia. Es mejor consultar al remitente que ser infectados.
  • No abrir ficheros PDF, comprimidos (zip o 7z), documentos de Word (doc, docx), Excel (xls, xlsx, xlsxm), PowerPoint (ppt, pptx), ejecutables (.exe) o similares que no hayan sido solicitados y ante la más mínima duda.
  • No navegar por páginas dudosas, en la medida de lo posible.
  • Tener algún software antivirus actualizado.
  • Tener actualizado el sistema operativo, lector de PDF, y aplicaciones (por ejemplo Office, etc.), así como los navegadores utilizados, y todas las extensiones (Flash, Java, etc.).
  • Asegurarnos de que tenemos instalado los programas que necesitamos y eliminar los demás (por ejemplo, muchos ordenadores incluyen Java por defecto, que ha tenido problemas de seguridad y si el usuario no lo utiliza, es mejor desinstalarlo y no exponerse a riesgos innecesarios). Cuantas menos puertas tenga, más fácil será defender la casa.
  • Revisar los permisos de las carpetas de red.
  • Hacer copias de seguridad frecuentes de toda la información importante en medios diferentes y rotarlos.
  • Grabar los archivos importantes en DVD o CD, que, a día de hoy, no me consta que ningún virus informático puede destruir.

Se podría pensar que una copia de seguridad válida es la que se hace en Dropbox, OneDrive, Google Drive o servicios similares, pero hay que tener en cuenta que el virus, y lo he comprobado personalmente, encripta también los ficheros de esas carpetas, por lo que se suben a la nube los archivos inutilizables. Eso sí, con Dropbox por ejemplo se podrían llegar a restaurar, uno por uno, todos de sus versiones anteriores.

Una vez infectado, ¿qué se puede hacer…?

Tal y como se ha expuesto, hay pocas opciones. El año pasado hubo intentos de acabar con la red de extorsión montada alrededor de este tipo de amenazas informáticas con la Operación Tovar https://youtu.be/2MBjJqRAF7c contra CryptoLocker, pero parece que han regresado y ahora hay más variantes.

  • Desconectar el ordenador de las redes informáticas (cable y Wifi) lo antes posible y, en la medida de lo posible, apagarlo. Lo habitual es que un síntoma es que “va muy lento”.
  • Lo ideal sería extraer el disco y conectarlo a otro equipo, en caso de no ser posible, hay que eliminar el virus, una vez identificado por los síntomas (si presenta una pantalla informativa como la descrita puede ser CryptoLocker, o si deja archivos HELP_DECRYPT, por ejemplo). Asegurarse de que queda limpio.
  • Restaurar de la copia de seguridad, si la hay, los archivos modificados.
  • Si el virus es CryptoLocker (suele aparecer un mensaje “Your personal files are-encrypted” VV 72) a lo mejor hay suerte y se puede encontrar la clave mediante esta web https://www.decryptcryptolocker.com/ (ya no funciona) donde piden un archivo afectado y una dirección de mail, a la que enviar la contraseña para descifrar los archivos si la consiguen. Si se logra, hay que ejecutar un fichero para, archivo a archivo, recuperarlos: exe –key clave <fichero-afectado.extensión>.
FireEye DecryptoLocker

FireEye DecryptoLocker

  • Probar con la herramienta de Kaspersky noransom https://noransom.kaspersky.com/ en la que, con la colaboración de la policía de Holanda, recopilan casuística y, mediante el código para el pago, intentan encontrar una clave para desencriptar los ficheros.
NoRansom-Karspersky

NoRansom-Karspersky

  • Si el sistema es Windows 7 o superior y se tiene activada la opción de recuperar versiones anteriores del archivo (botón derecho versiones anteriores del fichero), puede ser una oportunidad de recuperar algunos ficheros. Con http://www.shadowexplorer.com/ se puede hacer sin tener que ir uno a uno.
  • Probar con herramientas de recuperación de archivos como Recuva o similares, para intentar “desborrar” los ficheros originales eliminados por el malware.
  • Nuevo: Recientemente ha aparecido un un kit Ransomware Removal, un conjunto de guías y utilidades que ayudarán al usuario a identificar y erradicar el ransomware que ha cifrado los archivos de su disco duro (o discos duros, en el peor de los casos) que conviene al menos probar por si acaso… Ransomware Removal Kit – Bitbucke.
  • Otros interesantes son estas decryption tools.
  • Una interesante es la que te permite identificar el ransomware que tienes: el crypto sheriff (gracias, Emili)
  • Si tienes el virus ransomware TeslaCrypt, estás de enhorabuena probablemente, ya que hay una nueva herramienta para descifrar los archivos: ESET TeslaCrypt, paso a paso:
    Imagen de CryptoLocker

    Imagen de CryptoLocker

    Limpiar la infección TeslaCrypt usando la herramienta de descifrado ESET TeslaCrypt—Base de conocimiento ESET

      • Hacer clic en Inicio > Todos los programas > Accesorios (o buscar cmd), botón derecho sobre el símbolo del sistema y luego ejecutar como administrador.
        • Usuarios de Windows 8, 8.1 y Windows 10: pulsar la tecla Windows y teclear cmd (todo seguido), aparecerá el símbolo del sistema, botón derecho y ejecutar como administrador dentro del menú contextual.
      • Escribir el comando cd %userprofile%\Desktop (tal cual, con todos los símbolos el texto en cursiva) y luego pulsar enter.
      • Escribir el comando ESETTeslaCryptDecryptor.exe y pulsar enter.
      • Leer y aceptar el contrato de licencia de usuario final.
      • Teclear ESETTeslaCryptDecryptor.exe C: y presionar enter para buscar en la unidad C en modo silencioso. Para explorar otra unidad que se pueda haber visto afectada (USB, discos externos, etc.), cambiar C: por la letra de la unidad deseada.

        Teslacrypt decyptor

        Teslacrypt decyptor

    • La herramienta de desinfección de TeslaCrypt se ejecutará y mostrará el mensaje Looking for infected files…. Si detecta alguna infección o ficheros encriptados que puedan ser recuperados, no hay más que seguir las instrucciones.
  • En caso de que los ficheros sean muy importantes (por ejemplo archivos de la empresa, documentos vitales, etc.), siempre se puede recurrir a profesionales, ya que aunque haya que pagar, en muchas situaciones vale la pena.

En todos los casos, como se puede observar, la recuperación es muy difícil cuando no imposible, de ahí la importancia de la prevención a través de no hacer clic en enlaces sospechosos, no abrir ficheros no solicitados y de tener copias de seguridad frecuentes.

Si te ha pasado y conoces otras herramientas, soluciones o tienes otras experiencias, no dudes en compartirlas.

Basado en mi artículo publicado en la revista Aproin www.aproin.com.

193 Responses to CryptoLocker, HELP_DECRYPT,…: borran todos tus datos. Qué hacer y soluciones (Actualizado 05.2016)

Responder a Ana Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Seguir a ChristianDvE en Twitter
 TwitterFacebook YouTubePinterestInstagramFeed
Periscope
Recibe por correo electrónico los nuevos contenidos para no perderte ninguno

Dirección de mail:

Sígueme (si quieres) también en Feedly
Archivos
Creative Commons
Los contenidos de este blog se encuentran bajo una Licencia Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported.
Hosting por Raiola.