Recuperar archivos cifrados por Cryptowall 3.0

0

Como recuperar archivos cifrados con Cryptowall 3.0

Cryptowall 3.0 es la última variante conocida del temido ransomware Cryptowall, y ha introducido algunos cambios importantes respecto a su predecesor. Uno de los más importantes es la forma de distribución del malware y el otro viene de la mano del cifrado, que es ahora más potente.

El nuevo Cryptowall 3.0

Cryptowall 3.0 incorpora mecanismos de ingeniería social más refinados. Además, el ransomware adopta ahora mecanismos de explotación más sigilosos y difíciles de combatir. Sus principales vías de entrada son actualmente las vulnerabilidades -tanto conocidas como Zero Day– en aplicaciones de terceros que tengamos instaladas en el equipo.

Por otro lado, el esta amenaza utiliza ahora un mayor número de pasarelas de anonimización mediante la red Tor, preferida sin duda por los cibercriminales para acometer sus actos.

Cómo actúa Cryptowall 3.0

Una vez Cryptowall se encuentra en posición de infectar el equipo, lo hará sigilosamente: escaneará el sistema para encontrar todos los archivos personales que sea capaz de atacar (obviando los archivos de sistema) y les aplicará un cifrado de 2048 bits.

TROJ_CRYPWALL_XXTXM4

Una vez ha terminado de cifrar los archivos, mostrará al usuario un aviso informándole de que necesita pagar 500$ (unos 450 €), para ello le mostrará un archivo de imagen cuyo nombre es HELP-DECRYPT, donde se detallan las instrucciones para realizar el pago.

Cómo recuperar archivos cifrados por Cryptowall 3.0

A continuación vamos a detallar 3 métodos diferentes que nos pueden devolver los archivos secuestrados en determinadas condiciones. 

Método 1: Instantáneas de volumen de Windows

Las Instantáneas de Volumen de Windows, también conocidas como  Shadow copies o Versiones anteriores de archivos, pueden devolvernos los archivos si tenemos habilitado Restaurar Sistema de Windows. Cuano Restaurar Sistema cree un nuevo punto de restauración, lo estará haciendo al mismo tiempo en las carpetas y archivos particulares.

Tenemos dos opciones para intentar recuperar los archivos cifrados por esta vía: una opción es manual y la otra es automatizada. Empecemos por el modo automático:

Utilizando Shadow Explorer

La herramienta Shadow Explorer nos permite recuperar las instantáneas de volumen sin esfuerzo. Es mucho más fácil si tenemos mucho que recuperar. Bastará con descargar y ejecutar Shadow Explorer y este nos mostrará las copias de archivos de ha podido detectar.

shadowexplorer

Seleccionaremos los archivos a restaurar y pulsaremos sobre el botón Export para ponerlos a salvo.

Método manual

Si queremos recuperar los archivos de forma manual podemos acceder, mediante el botón derecho del ratón sobre una carpeta determinada, a lo que se denominan versiones anteriores de archivos. 

versiones-anteriores

Mediante el botón derecho sobre un archivo o carpeta y seleccionando Propiedades, accederemos a la mencionada pestaña y escogeremos Copiar o Restaurar, según el sitio donde queramos enviar el archivo.

Método 2: Backups

Si tienes la suerte o el buen juicio de contar con un backup de tu sistema que incluya lo más importante, es posible que esta sea tu mejor baza: ahorrarás tiempo y esfuerzo, ya que solo tienes que iniciar la aplicación y elegir como restaurarlo.

Comprobación de Backup

En esta guía te hablamos de una de las mejores opciones para realizar backups de forma doméstica, fácil y gratuita. Si aún no lo has probado, te interesará al menos conocer Redo Backup.

Método 3: Software de recuperación

Como hemos comentado, la forma de actuar de Cryptowall no se basa en cifrar archivos existentes (modificando algo que ya existe) sino que el proceso es más complejo: Crytowall 3.0 crea una copia de cada archivo que después cifrará y, en cuanto haya terminado, eliminará el original. De esta forma romperá los vínculos con el sistema y dificultará mucho la recuperación de los archivos.

Getdataback

Getdataback

Llegados a este escenario, lo que os recomendamos es utilizar alguna de las opciones profesionales de recuperación de archivos que encontraréis en la red:

En general, podemos intentarlo con cualquier herramienta capaz de buscar archivos eliminados. Aunque las nuevas versiones del malware sobreescriben varias veces el contenido de los archivos, para dificultar su recuperación, hay opciones de conseguirlo.

Compartir.

Sobre el Autor

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR