¿Qué es un virus “ransomware”? 

Es un código malicioso que al ejecutarse ataca algunos archivos de usuario encriptándolos y dejándolos inutilizables. Dicho código generalmente llega a través de archivos adjuntos a mensajes de correo electrónico no deseado (spam). Los mensajes suelen indicar que son una orden de compra o el comprobante de una transferencia bancaria, el número de seguimiento de un paquete, etc. La idea es que enviando masivamente ese tipo de mensajes, alguna persona que está esperando una orden de compra, etc. sentirá curiosidad por ver el adjunto y así recibirá el ataque.

recuperacion de datos ransomware

Se llaman ransomware porque constituyen una extorsión o pedido de rescate al creador de ese código que en teoría contra recepción de un pago devolverá el software y las llaves necesarias para desencriptar los archivos. Como en cualquier situación de secuestro, las víctimas lidian con delincuentes con comportamientos impredecibles. No se trata de una simple transacción comercial. El fenómeno del ransomware está muy atomizado, por lo que no se puede afirmar que cierto código produce determinado daño y que con el pago del rescate la víctima efectivamente resuelve su problema.

Además, claro, está la dimensión ética: si cada víctima pagase el rescate, le estaría dando a los delincuentes enormes recursos económicos para inversiones en infraestructura y desarrollo que les permitan aumentar y perfeccionar sus delitos.
Los pagos de rescates se realizan por medios electrónicos, empleando criptomonedas como el Bitcoin en la expectativa de mantener el anonimato. Sin embargo se ha conseguido atrapar a varias bandas dedicadas a estos delitos.

¿Es posible recuperar datos de un disco atacado por un virus de tipo ransomware?
La gente suele creer que los archivos atacados se convirtieron instantáneamente en datos inaccesibles. En realidad estos códigos maliciosos primero generan una copia de ciertos archivos aplicándoles una encriptación fuerte, que en general no es susceptible de ser quebrada por ataques de fuerza bruta –aunque siempre hay que verificar. En una segunda instancia borran los archivos originales en modo seguro, es decir, tratando de que no sean más recuperables. Ese proceso tiene tiempos de ejecución, consume recursos de RAM y procesador. A veces el usuario al darse cuenta del ataque puede interrumpir el proceso, por ejemplo apagando la computadora y limitando el daño.

ransomware

ransomware

Cada código malicioso de esas características tiene sus variantes y además hay que ver cómo actuó sobre una partición en particular, durante cuánto tiempo, etc. De allí que a veces sea factible conseguir recuperaciones de archivos, al menos parciales. Hay que tomarse el trabajo de analizar cada caso en particular si es que los datos revisten importancia. Por lo comentado más arriba, para que el virus actúe es preciso tener capacidad de procesamiento disponible, espacio en RAM y espacio en disco. Por ejemplo si la partición atacada estaba muy llena es posible que el virus pueda hacer menos daño o que la ejecución lleve más tiempo o que se cuelgue el equipo. En todos esos casos el perjuicio sería menos generalizado.

Recuperación de datos Ransomware

Contacte con un técnico especializado de nuestro Laboratorio: 911 436931

info@irecoverydata.es – www.irecoverydata.es