No More Ransom salva la situación

La historia de Marion, una usuaria alemana de ordenador cuyos archivos cifró un ransomware (y cómo los recuperó sin pagar rescate alguno).

Un día de mayo del 2016, Marion, una usuaria alemana de ordenador, inició sesión en su ordenador doméstico. No tenía ni idea de lo que le esperaba.

La primera señal de que tenía un problema fue cuando su ordenador no se inició como de costumbre y no pudo acceder al escritorio. Aunque reiniciara, nada cambiaba. Luego vio el mensaje del ransomware en su pantalla. No sabía cómo se había infectado. No vio nada sospechoso la última vez que ella, o algún miembro de su familia, usó el ordenador.

Pero ahí estaba:

El crecimiento del ransomware

El ransomware lleva siendo un problema creciente durante los últimos años y no parece que vaya a disminuir. Todos sabemos que es importante realizar copias de seguridad con frecuencia, que no hay que abrir correos sospechosos, que hay que usar el mejor software de seguridad… Pero, aun así, todo es posible y, de repente, pierdes el acceso a la información de tu PC, de la red y de los discos conectados.

Tu PC no puede ser 100% seguro a no ser que lo desconectes de cualquier red, elimines el lector de CD, las conexiones USB, etc. Esto no es muy práctico en el mundo conectado de hoy en día, por lo que hay que involucrarse en la gestión de los riesgos: tienes que encontrar tu equilibrio personal de conveniencia, seguridad y privacidad.

Y, si te conviertes en víctima de un ataque de ransomware, debes saber que tu decisión no se reduce a pagar o no pagar. Tienes más opciones.

Puede que resulte más difícil que antes recuperar tus datos. Los atacantes solucionan los errores que permitían a las empresas como Kaspersky Lab desarrollar herramientas genéricas para descifrar los archivos afectados por varias amenazas ransomware. Hoy en día, existen más variantes cada vez más sofisticadas de ransomware y su recuperación suele requerir la clave privada de los delincuentes.

Recuperando tus datos

Como su día fue empeorando, Marion apagó su ordenador y pidió ayuda al departamento informático de su trabajo. Pudieron hacer captura de pantalla de todos los datos relevantes: el mensaje del ransomware, los archivos del disco y algunas imágenes y PDF anteriores y posteriores al cifrado. Trataron de descifrar los archivos con todas las herramientas disponibles, pero ninguna funcionó.

En aquel momento, Marion comprendió todo lo que le había sucedido a su PC. Su disco duro contenía un archivo que contenía más de una década de fotos familiares: años de ocasiones especiales, ordenados en carpetas y organizados por fecha. El esfuerzo de varios años quedó inaccesible.

Marion no disponía de copia de seguridad externa, pero estaba segura de algo: no estaba dispuesta a pagar nada a los delincuentes.

Marion contactó con las personas con las que había compartido las fotos y les pidió que se las reenviaran. De este modo pudo recuperar algunas, pero seguía sin recuperar la mayoría.

Con la ayuda del departamento informático de su empresa, buscaron una solución en Internet sin encontrarla. Luego preguntó a sus amigos y, finalmente, como último recurso, hizo una publicación en Facebook en la que pedía ayuda e incluso ofrecía 500€ de recompensa a cualquiera que pudiera ayudarla a recuperar sus archivos sin pagar a los delincuentes.

Traducción: Aunque he recibido muchas opiniones de varias personas, mis archivos siguen cifrados. Parece ser que me ha atacado una nueva variante. Pero no perderé la esperanza y subo la recompensa a 500 euros para cualquiera que pueda ayudarme a descifrar mis archivos.

Una veintena de personas contestó e intentó ayudar. Sin embargo, ninguno lo consiguió.

Llegó el momento de No More Ransom

Entonces me involucré. Un ex compañero de colegio vio la publicación de Marion y, al saber que trabajo en el equipo GReAT de Kaspersky Lab, me añadió a la conversación.

Me puse en contacto con Marion y me facilitó toda la información relevante para que pudiera probar herramientas para descifrar sus archivos. Pero no pude encontrar ninguna para la variante concreta a la que se enfrentaba.

Con la información de Marion en mano, pedí ayuda a nuestros especialistas en ransomware. Rápidamente me confirmaron que el malware era una nueva variante de CryptXXX V3 para la que todavía no había herramientas disponibles que descifraran los archivos. Transmití las malas noticias a Marion y la avisé para que no pagara el rescate (los atacantes crean nuevos ransomware, trabajamos con la policía y otros socios para desarrollar herramientas de descifrado o para extraer las claves privadas que los delincuentes han almacenado en su servidores de mando y control).

Lo hacemos mediante el proyecto No More Ransom. En verano de 2016, la Europol, Kaspersky Lab e Intel lanzaron el portal NoMoreRansom.org para ayudar a las víctimas de ransomware a recuperar sus archivos y para terminar con el modelo de negocio lucrativo que mantiene a los ciberdelincuentes. El proyecto ya cuenta con más de 40 colaboradores.

El 20 de diciembre, añadimos otro descifrador para CryptXXX V3 a la página de No More Ransom. Lo ofrecemos gratis, al igual que todas las herramientas que encontrarás allí.

Aún recordaba el caso de Marion, por lo que contacté con ella a través de Facebook y le conté lo de la nueva herramienta. Unos días después me respondió para decirme que ¡pudo recuperar todos los archivos cifrados! (Naturalmente, no acepte la recompensa).

Lecciones aprendidas

Le pregunté a Marion que había aprendido de este incidente.

Además de hacer regularmente copias de seguridad en diferentes discos duros externos, ahora tiene más cuidado cuando navega por Internet y siempre se asegura de tener los últimos parches instalados. Es más, no deja que nadie más use su PC.

Esta historia nos recuerda que debemos ser nuestros propios gestores de riesgo. A fin de cuentas, es tu trabajo cuidar de tu PC, red, privacidad y bienes personales. Y si las cosas salen mal, recuerda que tus opciones no se reducen a pagar o no pagar. NoMoreRansom.org debería ser el primer lugar que compruebes (podrías recuperar los archivos sin pagar a nadie ni un céntimo). Y aunque no exista aún una solución para ti en este momento, ten paciencia, espera un tiempo y no pagues a los delincuentes.

Marion es solo una usuaria de los muchos que se han beneficiado del proyecto No More Ransom, el cual ha publicado siete herramientas hasta la fecha. Con su ayuda, cinco mil usuarios han desbloqueado sus archivos y se han ahorrado 1,5 millones de dólares en rescates.

Consejos