Saltar al contenido principal
resources

Eliminación de ransomware | Descifrar los datos: cómo eliminar el virus

Sufrir una infección de ransomware significa que los ciberdelincuentes han cifrado sus datos o que han bloquedo su sistema operativo. Estos delincuentes suelen exigir un rescate a cambio de descifrar los datos. El ransomware puede introducirse en un dispositivo de muchas formas. Las vías más comunes son las infecciones en sitios web maliciosos, las descargas que incluyen complementos no deseados y el spam. Los ataques de ransomware pueden dirigirse tanto a individuos como a empresas. Se pueden adoptar varias medidas para protegerse contra los ataques de ransomware; dos de las más importantes son, sin duda, estar en alerta y utilizar el software correcto. Sufrir un ataque de ransomware implica la pérdida de datos, gastar una gran suma de dinero o ambas cosas.

Cómo detectar el ransomware

¿Cómo sabe si su ordenador está infectado? Estas son algunas formas de detectar un ataque de ransomware:

  • El analizador antivirus notifica una alarma: si el dispositivo tiene una aplicación antivirus, puede detectar la infección de ransomware de manera temprana, a menos que se haya desactivado.
  • Comprobar la extensión de los archivos: por ejemplo, la extensión normal de un archivo de imagen es «.jpg». Si esta extensión ha cambiado a una combinación de letras desconocida, es posible que haya una infección de ransomware.
  • Cambio de nombres: ¿los archivos tienen nombres diferentes a los que puso usted? Los programas maliciosos a menudo cambia los nombres de los archivos cuando cifran los datos. Si nota un cambio como este, puede que haya un problema.
  • Aumento de la actividad de la CPU y el disco: si nota que el disco o el procesador principal están trabajando más de lo habitual, es posible que el ransomware se esté ejecutando en segundo plano.
  • Tráfico de red dudoso: la interacción entre un programa y el ciberdelincuente o el servidor del atacante puede generar un tráfico de red sospechoso.
  • Archivos cifrados: una señal tardía de que un ransomware ha actuado es cuando ya no se pueden abrir los archivos.

Por último, si ve una ventana que le exige el pago de un rescate, puede afirmar con seguridad que su equipo está infectado con un ransomware. Cuanto antes se detecte la amenaza, más fácil será combatir el malware. La detección temprana de una infección con un troyano de cifrado puede ayudarle a determinar qué tipo de ransomware ha infectado el dispositivo final. Muchos troyanos extorsionadores se eliminan a sí mismos una vez que se ha ejecutado el cifrado para que no se pueda examinar ni descifrar.

Mi dispositivo está infectado con un ransomware. ¿Qué puedo hacer?

El ransomware se suele dividir en dos tipos: el ransomware de bloqueo y el ransomware de cifrado. Un virus ransomware de bloqueo bloquea toda la pantalla, mientras que el segundo tipo de virus «únicamente» cifra archivos individuales. Independientemente del tipo de troyano de cifrado que sea, las víctimas suelen tener tres opciones:

  1. Pagar el rescate y esperar que los ciberdelincuentes cumplan su palabra y descifren los datos.
  2. Intentar eliminar el malware con las herramientas disponibles.
  3. Restaurar la configuración de fábrica del ordenador.

Cómo eliminar los troyanos de cifrado y descifrar los datos

Tanto el tipo de ransomware como el momento en que se detecta la infección tienen un impacto importante en la lucha contra el virus. No se puede eliminar el virus y restaurar los archivos con todas las variantes existentes de ransomware. A continuación te explicamos tres formas de combatir una infección.

Detección de ransomware: ¡cuanto antes, mejor!

Si se detecta el ransomware antes de que exija un rescate, tiene la ventaja de poder eliminar el malware. Los datos cifrados hasta ese momento seguirán cifrados, pero es posible detener al virus ransomware. La detección temprana permite evitar que el malware se propague a otros dispositivos y cifre más archivos.

Si tiene una copia de seguridad de sus datos externa o en un almacenamiento en la nube, podrá recuperar los datos cifrados. Pero ¿qué ocurre si no dispone de una copia de seguridad de sus datos? En ese caso, le recomendamos que se ponga en contacto con la empresa fabricante de su solución de seguridad en Internet. Es posible que ya tengan una herramienta de descifrado para el ransomware del que ha sido víctima. También puede visitar el sitio web del proyecto No More Ransom. Esta iniciativa de todo el sector se lanzó con el fin de ayudar a las víctimas del ransomware.

Instrucciones para eliminar el ransomware de cifrado de archivos

Si ha sido víctima de un ataque de ransomware de cifrado de archivos, siga estos pasos para eliminar el troyano de cifrado.

Paso 1: desconéctese de Internet

Primero, desactive todas las conexiones, tanto virtuales como físicas. Esto implica desconectar los dispositivos inalámbricos y con cable, cualquier disco duro externo, soportes de almacenamiento y cuentas de nube. De este modo puede evitar la propagación del ransomware dentro de la red. Si sospecha que hay otras áreas afectadas, lleve a cabo los siguientes pasos de copia de seguridad también para esas áreas.

Paso 2: realice una investigación con su software de seguridad en Internet

Utilice el software de seguridad en Internet que tenga instalado para realizar un análisis antivirus. Esto le ayuda a identificar las amenazas. Si se encuentran archivos peligrosos, puede eliminarlos o ponerlos en cuarentena. Puede eliminar los archivos maliciosos de forma manual o automática con el software antivirus. La eliminación manual del malware solo es una opción recomendable para los usuarios experimentados.

Paso 3: use una herramienta de descifrado de ransomware

Si su equipo está infectado con un ransomware de cifrado, necesitará una herramienta adecuada para recuperar el acceso a sus datos. En Kaspersky, investigamos constantemente los tipos de ransomware más recientes para proporcionar las herramientas de descifrado adecuadas con las que hacer frente a esos ataques.

Paso 4: restaure su copia de seguridad

Si cuenta con una copia de seguridad de sus datos en un disco externo o en un servicio de almacenamiento en la nube, cree una copia de seguridad de los archivos que aún no haya cifrado el ransomware. Si no tiene ninguna copia de seguridad, limpiar y restaurar el equipo será mucho más difícil. Para evitar esta situación, es recomendable que cree copias de seguridad periódicamente. Si suele olvidarse de esas cosas, utilice los servicios de copia de seguridad automática en la nube o prográmelo en su calendario para recordarlo.

Cómo eliminar el ransomware de bloqueo

En el caso del ransomware que bloquea la pantalla, el primer problema de la víctima es conseguir llegar hasta el software de seguridad. Una posible solución es iniciar el equipo en modo seguro; en algunos casos, este modo impide que el bloqueador de pantalla se cargue y le da a la víctima la posibilidad de usar el antivirus y combatir el malware.

Pagar o no pagar el rescate, esa es la cuestión

Por norma general,pagar no es lo recomendable. Al igual que con la política de no negociación en un secuestro con rehenes en la vida real, se debe seguir un enfoque similar cuando secuestran sus datos. No se recomienda pagar el rescate porque no hay garantía de que los extorsionadores acaben cumpliendo su promesa y descifrando los datos. Además, al pagar incentivaría este tipo de delitos, y eso es algo que debe evitarse a toda costa.

En cualquier caso, si planea pagar el rescate, no debe eliminar el ransomware de su equipo. De hecho, dependiendo del tipo de ransomware o del plan del ciberdelincuente con respecto al descifrado, el ransomware podría ser la única forma de aplicar un código de descifrado. Eliminar prematuramente el software impediría utilizar el código de descifrado, por el que habrá pagado un importe considerable. Pero si realmente recibe un código de descifrado y funciona, tiene que eliminar el ransomware del dispositivo lo antes posible una vez que se hayan descifrado los datos.

Tipos de ransomware: ¿de qué diferentes maneras se puede proceder?

Hay muchos tipos de ransomware, algunos de los cuales se pueden desinstalar con solo un par clics. Sin embargo, también existen variantes generalizadas del virus que son considerablemente más complejas y cuya eliminación requiere más tiempo.

Dispone de diferentes opciones para eliminar el virus y descifrar los archivos infectados, en función del tipo de ransomware. No hay una herramienta de descifrado que se pueda aplicar universalmente y que funcione con todas las variantes de ransomware.

Las siguientes preguntas son importantes a la hora de eliminar correctamente el ransomware:

  • ¿Qué tipo de virus ha infectado el dispositivo?
  • ¿Existe un programa de descifrado adecuado? De ser así, ¿cuál?
  • ¿Cómo ha llegado el virus al sistema?

Ryuk puede haber entrado en el sistema a través de Emotet, por ejemplo, lo que implica una diferencia en la forma de abordar el problema. Si se trata de una infección de Petya, el modo seguro es una buena forma de eliminarlo. Aquí puede consultar más información sobre las diferentes variantes de ransomware.

Conclusión

Aunque se tomen todas las precauciones de seguridad, nunca se puede descartar por completo la posibilidad de un ataque de ransomware. Si ocurre lo peor y sufre un ataque de este tipo, contar con software de seguridad excelente, como el de Kaspersky, una preparación previa y actuar con cautela le puede ayudar a mitigar las consecuencias. Saber cuáles son las señales de un ataque de ransomware le permitirá detectar y atacar una infección con la mayor antelación posible. No obstante, si ya le han exigido un rescate, tiene varias opciones a su disposición y puede elegir la más adecuada en función de sus circunstancias. Recuerde que hacer copias de seguridad de sus datos periódicamente reducirá en gran medida el impacto de un ataque.

Eliminación de ransomware | Descifrar los datos: cómo eliminar el virus

Detectar troyanos de cifrado, eliminar ransomware de su ordenador y descifrar sus datos. Descubra cómo.
Kaspersky Logo