Cómo derrotar a Cryptolocker, el virus que secuestra tus documentos

Cryptolocker uno de los virus más peligrosos de los últimos años. Al infectar el PC, secuestra documentos y pide dinero a cambio de recuperarlos. Si no se hace…

Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.


Cómo eliminar Cryptolocker por softonic-es

Cryptolocker secuestra documentos con una clave secreta

Cuando se ejecuta, Cryptolocker se instala en la carpeta de programas y empieza a cifrar (encriptar) documentos de Office y LibreOffice, archivos PDF, fotos e ilustraciones, que se vuelven inaccesibles. Los archivos se cifran con una clave que solo poseen los autores de Cryptolocker, lo que imposibilita la recuperación.

Los archivos infectados por Cryptolocker se vuelven ilegibles debido al cifrado

Al mismo tiempo, CryptoLocker lanza su terrible amenaza: si el propietario no paga una suma de dinero en el plazo de tres o cuatro días, la clave con la que se bloquearon los archivos será borrada para siempre, y los archivos ya no se podrán rescatar. Es como encerrar a alguien en una celda indestructible y tirar la llave.

Los archivos no se pueden rescatar sin pagar

Si el pobre usuario accede a pagar la suma de dinero, que puede alcanzar los trescientos dólares, Cryptolocker descifra los archivos, aunque no siempre obedece. El pago se puede efectuar a través de MoneyPak, Ukash y -novedad- a través de Bitcoin, una moneda virtual cuyas transacciones se efectúan sin controles.

Las formas de pago que acepta el virus Cryptolocker dificultan la identificación de los autores

Todo intento de pago erróneo disminuye el tiempo disponible para salvar los archivos. Para “ayudar” a los afectados, los autores del virus incluso han puesto una dirección de “soporte técnico” en el fondo de pantalla que Cryptolocker activa en el PC infectado. Esa dirección contiene la versión web de la herramienta de descifrado.

La página de “soporte” de Cryptolocker

El sistema ideado por los criminales es perfecto: si el usuario no paga, los archivos no se pueden recuperar. El cifrado utilizado es demasiado fuerte, e incluso un ataque criptográfico sofisticado tardaría un tiempo larguísimo para descifrar uno cualquiera de los archivos atrapados.

Por eso, si alguien no tiene una copia de seguridad, acaba por pagar a los malhechores.

Qué hacer en caso de infección de Cryptolocker

Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos ni tampoco comunicar con los criminales. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.

Una forma rápida de desactivar la conexión es ir al panel de Red y desactivar los dispositivos

Acto seguido, has de preguntarte qué quieres hacer, si pagar la suma del rescate o eliminar el virus e intentar recuperar los archivos. En caso de que optes por el pago, estás a la merced de los criminales, y la recuperación no está garantizada. Si bien hay muchos informes que comentan que el descifrado empieza a las pocas horas de efectuar el pago, otros comentan que el proceso de recuperación rebosa de fallos. Yo te recomiendo no pagar.

La herramienta de descifrado de Cryptolocker solo funciona si has pagado el rescate…

Sea cual sea tu elección, lo mejor que puedes hacer es obtener una lista de los archivos infectados y cifrados. Para ello, puedes ejecutar la herramienta ListCrilock, que crea un archivo TXT con todos los archivos cifrados por el virus. Otro programa que hace lo mismo es CryptoLocker Scan Tool, que busca archivos tocados por el virus y te dice si necesitan ser recuperados.

CryptoFinder busca archivos infectados y te dice si se pueden recuperar o no

La opción manual consiste en abrir el Editor del Registro de Windows (Inicio > Ejecutar > Regedit) e ir hasta la clave HKEY_CURRENT_USER\Software. Allí verás una carpeta con número y una subcarpeta que contiene los nombres de los archivos: es la de Cryptolocker. Algunos de esos archivos puede que no estén cifrados todavía, y en consecuencia se podrán recuperar. Para los demás, solo puedes buscar en tus copias de seguridad.

Cómo eliminar el virus Cryptolocker del PC

Eliminar Cryptolocker es bastante sencillo, en parte porque los autores del virus cuentan con que la víctima está tan aterrorizada que no quiere eliminar la única forma que tiene de recuperar sus archivos. Por suerte, hay varias formas de recuperar tus archivos, pero antes debes quitar el virus del sistema.

En mi caso, para eliminar Cryptolocker usé la herramienta Norton Power Eraser, un potente anti-troyanos que Symantec distribuye gratis en su página. Copié NPE al equipo a través de una memoria, lo ejecuté y, al finalizar el escaneo, confirmé el borrado de los objetos sospechosos.

Un reinicio y todo rastro de Cryptolocker había desaparecido (solo había quedado el fondo de pantalla del virus, que de por sí es totalmente inocuo y se puede cambiar sin obstáculos).

Otras herramientas que funcionan son MalwarebytesRogueKiller y ComboFix. Los antivirus tradicionales tienen problemas para identificar Cryptolocker como una infección, sobre todo por la velocidad con la que aparecen nuevas variantes, pero ya se están poniendo al día.

Cómo recuperar los archivos infectados por Cryptolocker

Cryptolocker solo ataca documentos que se encuentran en el PC y en las unidades de red. No ataca archivos que se encuentran en unidades desconectadas o en servidores que están en Internet. Tampoco ataca documentos que se encuentran comprimidos. Su objetivo son los archivos que se encuentran en PC empresariales.

Extensiones que ataca Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Una vez que has desinfectado el PC, lo mejor que puedes hacer es recurrir a uno de los “secretos” más interesantes de Windows, las copias sombra (Shadow Copy), versiones previas que Windows almacena cada vez que un archivo se modifica. Para acceder a esta característica basta con hacer clic derecho sobre un archivo y abrir las propiedades.

En la pestaña Versiones previas verás las diferentes versiones que Windows ha almacenado. Elige la copia de seguridad más reciente que sea anterior a la infección y haz clic para restaurarla. Una forma más rápida y cómoda de acceder a todas las copias Shadow que hay en el disco duro es a través de la herramienta gratuita ShadowExplorer.

Shadow Explorer es muy fácil de usar. Basta con elegir la unidad, la fecha de las copias -que está en el menú desplegable que hay al lado de las unidades- y luego navegar por las carpetas y archivos disponibles. Las copias se extraen con un clic derecho sobre el archivo y otro clic sobre “Exportar”.

Otra opción para recuperar los archivos es usar una copia de seguridad previa que tuvieses almacenada en un disco duro desconectado, un servidor remoto o en discos DVD. Los archivos almacenados en Dropbox, SkyDrive o Drive también son buenos candidatos para la recuperación.

Cuando recuperes una copia desde Dropbox o Google Drive debes asegurarte que no sea una de las copias infectadas. Ambas aplicaciones cuentan con un historial de versiones para cada documento. En Drive, por ejemplo, está en Archivo > Ver historial de revisiones. Desde allí puedes recuperar el archivo deseado.

Cómo prevenir infecciones por Cryptolocker

Los autores de Cryptolocker diseñaron su virus con dos prejuicios en mente: que todos abrimos los archivos adjuntos y que nadie guarda copias de seguridad recientes de sus documentos. Tuya es la tarea de desmontar este mito. Para ello, tienes que reforzar tus políticas de seguridad (o tu empresa por ti).

Para empezar, desconfía de los correos sospechosos. Si no son correos que esperas, no debes abrir los archivos adjuntos por ninguna razón. Lo mismo aplica si estás usando correo web: si no has solicitado nada, no hagas clic. Esta regla evitará la mayoría de infecciones oportunistas, el medio principal de propagación del virus.

Un virus detectado por Gmail, que impide bajarlo (imagen de AskDaveTaylor)

Los más preocupados pueden usar la herramienta CryptoPrevent para deshabilitar el tipo de permisos que el virus aprovecha para instalarse. La herramienta modifica las políticas de seguridad de Windows para evitar que un programa pueda ejecutarse desde la carpeta de Datos de programa (AppData).

Al ejecutar CryptoPrevent, marca las primera, segunda y cuarta casillas para que los programas ya existentes en las carpetas puedan seguir ejecutándose. El botón “Undo” permite deshacer la maniobra, útil si has de añadir algún programa nuevo o si este parche te crea más incomodidad que seguridad.

Finalmente, si no lo has hecho ya, conviene que crees tu propio plan de copias de seguridad. Según datos de la firma BackBlaze, más de un 30% de los usuarios trabaja sin copias de seguridad de sus documentos, y solo un 10% hace copias diarias. Debes configurar un sistema de copias al menos para tus documentos más vitales.

Las copias Shadow de Windows se activan desde el menú de Propiedades de Sistema, al que puedes acceder con un clic derecho sobre el icono de Mi Pc, o también desde el Panel de control, dentro de la sección Sistema. El apartado Protección del sistema es el que permite habilitar las “copias sombra” y definir cuánto espacio destinar a ellas.

Cryptolocker es más peligroso que el Virus de la Policía

Todos recordamos al temible Reveton, el virus de la policía que sembró el pánico en millones de hogares y oficinas. El virus mostraba un mensaje que parecía haber sido redactado por la policía e instaba a las víctimas a pagar una suma a cambio de no ser perseguidos por crímenes horribles. Pero el virus no tocaba los archivos.

Cryptolocker es más dañino. A finales de 2013 se calculó que ya había infectado un cuarto de millón de PC. Puesto que las transacciones con Bitcoin se pueden analizar, algunos expertos descubrieron que los cibercriminales están ganando decenas de millones de dólares gracias a este virus.

La forma en que Cryptolocker infecta los PC es convencional, y se puede rechazar si tomas las precauciones que he indicado más arriba. La lección más importante, con todo, es que necesitas tener al día tus copias de seguridad. Tus datos son un pequeño tesoro, y los criminales ahora apuntan a hacerles daño a cambio de tu dinero.

ACTUALIZACIÓN [09/12/14]: los archivos infectados se pueden descifrar con esta página web

Sígueme en Twitter: @remoquete

Cargando comentarios

¿Tienes un AdBlocker?

Los anuncios nos permiten ofrecer descargas gratuitas y seguras a nuestros usuarios. Por favor desactiva tu AdBlocker para continuar navegando por nuestro site.

Instrucciones para desactivarlo

Pulsa en el icono de tu AdBlocker en la barra de navegación y:

  • A) Desactiva el AdBlocker para este sitio.
  • B) Añade nuestro sitio a la lista de excepciones.

Continuar

¿Tienes un AdBlocker?

Los anuncios nos permiten ofrecer descargas gratuitas y seguras a nuestros usuarios. Por favor desactiva tu AdBlocker para continuar navegando por nuestro site.

Instrucciones para desactivarlo

Pulsa en el icono de tu AdBlocker en la barra de navegación y:

  • A) Desactiva el AdBlocker para este sitio.
  • B) Añade nuestro sitio a la lista de excepciones.