Recuperar archivos encriptados por el virus CryptoLoker
Ya son muchos los casos detectados de Empresas infectadas por el virus CryptoLoker que encripta todos los documentos y archivos importantes del disco duro dejando a las empresas que no tienen las copias de seguridad periódicas totalmente in-operativas.
Ya son varias empresas a las que hemos dado soporte y solución a la encriptación de los archivos provocada por CriptoLoker, existen diferentes soluciones antes de pagar el rescate. No recomendamos pagar sin antes comprobar si existe solución alternativa. Sólo en caso de no haber solución la única manera de poder recuperarlos es pagando el rescate, a riesgo de que aun así no sea efectiva.
Cómo se produce la infección:
En la mayoría de los casos la infección se produce al ejecutar un enlace o al abrir un archivo adjunto tipo ZIP o PDF, que se recibe en nuestro correo electrónico y en la mayoría de los casos provienen simulando ser empresas de transporte conocidas cómo CORREOS o similar.
Suelen tener un aspecto parecido a la imagen siguiente y son virus que pertenecen a la variante Ransomware:
El CriptoLoker no cifra todos los ficheros de nuestro disco duro, se centra en aquellos que por su extensión son documentos tipo texto, imagen, audio, etc.
Una vez a terminado el proceso de Encriptación aparece una imagen parecida a la siguiente, donde se nos informa de la afectación del virus CryptoLoker y el cifrado de los archivos, así como el tiempo máximo para pagar el rescate antes de destruir la clave privada. Normalmente la moneda de pago es mediante BitCoins y suele variar el precio por desencriptar los archivos según el origen del mismo, puedo oscilar entre los 400 € y los 1.200 €. También podemos encontrarnos con la tesitura de que si en ese plazo que nos dan para el pago no lo realizamos, aumente el precio del rescate al doble o al tiple del inicial.
El troyano genera una clave simétrica aleatoria por cada fichero que va a cifrar, y cifra el contenido del fichero con AES utilizando esta clave. Después cifra la clave aleatoria con un algoritmo asimétrico de clave pública-privada (RSA) con claves de que superan los 1024 bits de longitud (hemos visto muestras que utilizan claves de 2048 bits) y la añade al fichero cifrado. Este procedimiento garantiza que solo el poseedor de la clave privada del RSA, será capaz de obtener la clave aleatoria con la que se ha cifrado el fichero. Además, como se realiza una operación de sobrescritura se impide la recuperación del fichero mediante técnicas forenses.
Cómo evitar que CryptoLocker
El método de infección que utiliza es la transmisión por email. Nuestros consejos consejos son:
- Extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos y con enlaces externos a archivos descargarbles.
- Desactivar la política de Windows que oculta las extensiones conocidas también ayudará a reconocer un ataque de este tipo.
- Tener un sistema de backup de nuestros ficheros importantes, lo que nos garantiza el poder recuperar los archivos en caso de infección y también en caso de fallos en el Hardware.
- Eliminar virus CryptoLoker
- Desencriptar archivos infectados por CryptoLoker
- Archivos encriptados por CryptoLoker
- Archivos encriptados
- Virus de Correos
- Virus de la policía