La infección por ransomware puede ser bastante aterradora. Si ve aparecer una nota en la pantalla de su computadora que le dice que la computadora está bloqueada, o que sus archivos están encriptados, no se asuste. En cambio, respire profundamente, siéntese y considere sus opciones.

Ilustración: Guía de Tom
Ilustración: Guía de Tom

Hay una serie de pasos que puede seguir para intentar recuperar el control de su sistema y archivos de Windows antes de tener que decidir si pagará un rescate.

Descubra qué tipo de ransomware tiene

Primero, deberá determinar si ha sido golpeado por cifrado ransomware, ransomware de bloqueo de pantalla o algo que simplemente pretende ser ransomware. Vea si puede acceder a archivos o carpetas, como los elementos en el escritorio o en la carpeta Mis documentos.

Si no puede pasar la nota de rescate que ve en su pantalla, es probable que esté infectado por un ransomware de bloqueo de pantalla, que no es tan malo. Si ve un aviso que dice ser de la policía, el FBI o el IRS que dice que lo han atrapado mirar pornografía o presentar impuestos falsos y debe pagar una "multa", que suele ser bloqueo de pantalla ransomware también.

MÁS: Mejor antivirus

Si puede navegar a través de directorios o aplicaciones pero no puede abrir sus archivos de oficina, películas, fotografías o correos electrónicos habituales, entonces tiene un ransomware de cifrado, que es mucho peor.

Si puede navegar por el sistema y leer la mayoría de los archivos, probablemente esté viendo algo falso que solo intenta asustarlo para que pague. Puede ignorar la nota de rescate. Intente cerrar su navegador web. Si no puede, presione las teclas Control, Shift y Esc al mismo tiempo para abrir el Administrador de tareas, elija la pestaña Aplicación, haga clic con el botón derecho en la aplicación del navegador y seleccione Finalizar tarea

¿Deberías pagar el rescate?

La mayoría de los expertos en seguridad, así como la propia Microsoft, desaconsejan el pago de rescates. No hay garantía de que recupere sus archivos si paga, y pagar solo fomenta más ataques de ransomware. (No pague el rescate por el ransomware de bloqueo de pantalla, porque casi siempre puede evitarlo).

Sin embargo, cuando necesite recuperar registros legales, médicos o comerciales, valiosas fotos familiares u otros archivos importantes, pagar $ 300 aproximadamente parece una opción viable, y la mayoría de los delincuentes de ransomware desbloquean los archivos después de que se hayan realizado los rescates. pagado. Por lo tanto, preferimos mantenernos neutrales sobre el tema de si el pago de rescates es aconsejable o moralmente aceptable.

Cómo lidiar con el cifrado de ransomware

Debido a que el cifrado de ransomware es el tipo más común y más dañino, nos ocuparemos de eso primero. Realice cada uno de estos pasos en orden, incluso si sabe que recientemente hizo una copia de seguridad de sus archivos. Deténgase cuando haya logrado recuperar sus archivos.

1. Desconecte su máquina de cualquier otra y de cualquier unidad externa. Si estás en una red, desconéctate. No desea que el ransomware se propague a otros dispositivos en su red local ni a servicios de sincronización de archivos como Dropbox.

2. Use un teléfono inteligente o una cámara para tomar una fotografía de la nota de rescate presentado en su pantalla. Si puede tomar una captura de pantalla, hágalo también. Querrá presentar un informe policial más tarde, después de seguir todos estos pasos.

3. Utilice software antivirus o anti-malware para limpiar el ransomware de la máquina, pero solamente hágalo si está decidido a no pagar el rescate. (De lo contrario, espere hasta que haya recuperado sus archivos). Es posible que deba reiniciar en Modo seguro presionando el botón de encendido y la tecla S en el teclado al mismo tiempo.

La eliminación del ransomware no descifrará sus archivos y puede acabar con sus posibilidades de recuperarlos pagando el rescate. Pero le permitirá realizar todos los pasos siguientes sin el riesgo de que el ransomware cifre nuevos archivos o intente frustrar el proceso de recuperación.

4. Vea si puede recuperar archivos borrados. Muchas formas de cifrado de ransomware copian sus archivos, cifran las copias y luego eliminan los originales. Afortunadamente, a menudo puede recuperar archivos eliminados fácilmente con herramientas como la Explorador de sombras o el pagado Descarga de recuperación de datos.

5. Averigüe exactamente con qué cepa de cifrado de ransomware está tratando. Si el ransomware no anuncia su propio nombre, pruebe el Sheriff criptográfico herramienta en línea o la ID ransomware herramienta en línea. Ambos le permiten cargar archivos cifrados y luego decirle si el cifrado se puede revertir. (En muchos casos, no puede ser).

6. Vea si hay herramientas de descifrado disponibles. Si ya conoce el nombre de la cepa de ransomware, navegue hasta la lista de herramientas de descifrado en el No más rescate sitio web y ver si hay un descifrador coincidente. (Las dos primeras entradas de la lista, Rakhni y Rannoh, pueden descifrar varias cepas). La lista no está alfabética y los nuevos descifradores se agregan al final de la lista.

Si no ve lo que necesita, pruebe con otros sitios web que agreguen descifradores de ransomware:

https://fightransomware.com/ransomware-resources/breaking-free-list-ransomware-decryption-tools-keys

https://heimdalsecurity.com/blog/ransomware-decryption-tools

http://www.thewindowsclub.com/list-ransomware-decryptor-tools

https://www.watchpointdata.com/ransomware-decryptors

También puede probar las páginas de descifrado de las empresas antivirus individuales para obtener herramientas nuevas que aún no se hayan migrado a las páginas agregadas:

Avast: https://www.avast.com/ransomware-decryption-tools

AVG: http://www.avg.com/us-en/ransomware-decryption-tools

Bitdefender: https://www.bitdefender.com/free-virus-removal

Emsisoft: https://decrypter.emsisoft.com

Kaspersky Lab: https://noransom.kaspersky.com

McAfee:

https://www.mcafee.com/us/downloads/free-tools/shadedecrypt.aspx

https://www.mcafee.com/us/downloads/free-tools/tesladecrypt.aspx

https://www.mcafee.com/us/downloads/free-tools/wildfiredecrypt.aspx

Trend Micro: https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

7. Restaura tus archivos desde una copia de seguridad. Si realiza regularmente copias de seguridad de la máquina afectada, debería poder restaurar los archivos desde la copia de seguridad.

Sin embargo, querrá asegurarse de que los archivos de respaldo no estén cifrados también. Conecte una unidad de respaldo en otra máquina o inicie sesión en uno de los mejor copia de seguridad en la nube services, para comprobar el estado de los archivos. (También debe asegurarse de tener los medios de instalación y / o claves de licencia para todas las aplicaciones de terceros).

Si todo está bien, querrá limpiar completamente la unidad, hacer una instalación limpia del sistema operativo y luego restaurar los archivos desde la copia de seguridad.

También puede restaurar los archivos desde la unidad de respaldo sin limpiar y reinstalar el sistema operativo. Esto puede parecer un problema menor, pero no es una buena idea; puede dejar algún rastro del ransomware en la máquina, incluso después de realizar un análisis antivirus completo.

Si estos métodos no funcionan, tendrá que tomar una decisión: pagar el rescate o entregar los archivos.

8. Si va a pagar el rescate, primero negocie. Muchas notas sobre ransomware contienen instrucciones sobre cómo ponerse en contacto con los delincuentes que ejecutan el malware. Si es así, comuníquese con ellos y regatee por un rescate menor. Funciona con más frecuencia de lo que cree.

Una vez que esté de acuerdo con un precio fijo, siga las instrucciones para pagar. No hay garantía de que sus archivos realmente se liberen, pero los delincuentes de ransomware más sofisticados suelen cumplir su palabra.

9. Renunciar a los archivos y reinstalar el sistema operativo. Si prefiere simplemente cortar el cebo, entonces debe hacer una limpieza completa y reinstalar el sistema operativo. Windows 10 te permite "restablecimiento de fábrica"muchos dispositivos, pero con otros sistemas operativos, tendrá que utilizar discos de instalación o memorias USB.

10. Presenta un informe policial. Esto suena inútil, pero es un paso legal necesario si desea presentar un reclamo de seguro o una demanda relacionada con su infección. También ayudará a las autoridades a realizar un seguimiento de las tasas de infección y su propagación.

Nota especial para el gusano ransomware Petya

los Gusano ransomware Petya que afectó duramente a Europa a finales de junio de 2017 es inusual. Después de la infección, reinicia la computadora e intenta sobrescribir el Registro de arranque maestro de un disco duro de Windows. Si puede detener el proceso de reinicio, puede evitarlo.

Si el Master Boot Record se ha sobrescrito, verá la nota de rescate a continuación:

Crédito: Avira
(Crédito de la imagen: Avira)

Pero no se desespere. Crear un nuevo Master Boot Record no es muy difícil. Si tiene un disco de instalación para su versión de Windows, puede seguir las instrucciones detalladas en esta página: http://neosmart.net/wiki/fix-mbr/. De lo contrario, lleve su computadora a cualquier taller de reparación de computadoras y un técnico podrá crear un nuevo Registro de arranque maestro en unos minutos.

Petya tiene un módulo de respaldo que encripta archivos si no se realiza la limpieza del Registro de inicio maestro. Si eso le ha sucedido a su máquina, siga las instrucciones habituales para manejar el ransomware cifrado.

Hagas lo que hagas, no te molestes en intentar pagar el rescate del gusano Petya. El malware está escrito para que los datos cifrados sean irrecuperables, y el proveedor de servicios de correo electrónico asociado ha desactivado la única dirección de correo electrónico de contacto proporcionada en la pantalla de rescate del malware.

Cómo manejar el ransomware de bloqueo de pantalla

El ransomware de bloqueo de pantalla no es tan frecuente como lo era hace unos años, pero sigue apareciendo de vez en cuando. Siga estos pasos para eliminarlo.

1. Desconecte su máquina de cualquier otra y de cualquier unidad externa. Si estás en una red, desconéctate. No desea que el ransomware se propague a otros dispositivos en su red local.

2. Use un teléfono inteligente o una cámara para tomar una fotografía de la nota de rescate presentado en su pantalla. Si puede tomar una captura de pantalla, hágalo también. Querrá presentar un informe policial más tarde, después de seguir todos estos pasos.

MÁS: Cómo protegerse del ransomware WannaCry

3. Reinicie su computadora en modo seguro presionando el botón de encendido y la tecla S en el teclado al mismo tiempo. Cuando la computadora se reinicie, ejecute un software antivirus para eliminar el ransomware.

4. Prueba Restaurar sistema si el modo seguro no funciona. La mayoría de las máquinas con Windows le permiten revertir el estado de la computadora al último estado bueno conocido.

En Windows 7, reinicie su PC mientras toca la tecla F8 para acceder al menú Opciones de arranque avanzadas. Elija Reparar su computadora, inicie sesión con su contraseña y seleccione Restaurar sistema.

En Windows 8, 8.1 o 10, reinicie su PC mientras mantiene presionada la tecla Shift para acceder a la pantalla de recuperación. Seleccione Solucionar problemas, luego Opciones avanzadas, luego Restaurar sistema.

Si no puedes llegar a las pantallas de recuperación pero tiene el disco de instalación o la memoria USB para esa versión de Windows, reinicie desde allí y seleccione Reparar su computadora en lugar de instalar el sistema operativo.

5. Ejecutar software antivirus una vez más para limpiar su sistema.

6. Presenta un informe policial. Esto suena inútil, pero es un paso legal necesario si desea presentar un reclamo de seguro o una demanda relacionada con su infección. También ayudará a las autoridades a realizar un seguimiento de las tasas de infección y su propagación.

  • Cómo comprar software antivirus
  • La mejor protección contra robo de identidad
  • Qué hacer si le roban su número de seguro social