1. Inicio
2. > Blog
3. > Crónica ataque Ransomware

Este posteo no tendrá ninguna relación con la película donde aparecía Ricardo Darín en uno de sus varios relatos... Pero, definitivamente, se va a ir poniendo algo más complicado, hasta alcanzar un punto álgido.

El mayor problema que podemos tener en nuestra PC es cuando se trata de perder todos nuestros archivos, sin poder recuperarlos, y esa es una posibilidad que está muy vigente en estos días, en los que mucha gente trata de solucionar las fallas por su cuenta, sin los recaudos necesarios para evitar los riesgos potenciales.

Te anticipo que vas a tener que leer bastante, pero es una crónica exacta y detallada de cómo fueron los hechos.

Las desventuras de esta mujer comienzan cuando por un problema ajeno a su PC, debe moverla temporalmente de su lugar habitual, para luego reubicarla. Hasta ese momento, todo en su PC funciona normal, ya que fue apropiadamente instalada y configurada hace unos meses.

Una vez que soluciona el problema del que no se necesitan más detalles, enciende su computadora, pero ésta no carga Windows; aparece la pantalla negra con una leyenda igual a la siguiente imagen, en la que le pide reiniciar su equipo y conectar un disco duro con Windows o configurar el inicio adecuadamente.

En resumidas cuentas, la PC no está reconociendo su disco duro, no lo está detectando.

Hasta ahora y en apariencia, el disco tiene problemas

Para casos como estos, suelo recomendar contactarme para pedir ayuda o al menos indicaciones sencillas

Como haríamos cada uno de nosotros, ella apaga y prende su equipo reiteradas veces hasta que, en un momento, la máquina logra detectar la presencia del disco.

Como es normal, cuando Windows detecta problemas en su inicio, se corta la luz, o se apaga sin haber seguido los pasos correspondientes; el mismo sistema nos ofrece "Iniciar la reparación de inicio" -para auto-repararse o restaurarse- o "Iniciar Windows normalmente".

Ella, sin el asesoramiento adecuado, elige la opción de "Iniciar la reparación de inicio".

Opta por restaurar Windows. Lo que significa que el sistema por sí mismo volverá a un estado anterior, en el que se deshace del trabajo realizado meses antes por quien les escribe. Borra algunos de los programas que habían sido instalados; elimina controladores como los de la antena de Wifi, por ejemplo; y desconfigura el sistema en general.

Luego de este proceso, logra iniciar Windows y se encuentra con esta situación, un Windows pelado, súper limitado y prácticamente sin nada. Por lo que toma la iniciativa de reinstalar ella misma los programas que ya no están, sin realizar una consulta técnica o pedir asesoramiento todavía.

Sin mayor problema, logra reinstalar el controlador de Wifi, que es el componente clave para que la antena conectada por USB, reciba señal de internet.

Una vez conectada a internet, comienza a instalar otros programas que utiliza regularmente.

El navegador Mozilla no funciona, por lo que utiliza la vieja versión de Internet Explorer y, lamentablemente, acepta la recomendación de Microsoft, de descargar su navegador Edge.

Llegado el momento de recuperar el programa de ofimática favorito, ingresa a una página de descargas.

El navegador Edge instalado como viene, de serie, carece de personalización y bloqueador de publicidad, lo que deja vulnerable a los usuarios al contacto con la inmensa cantidad de publicidad engañosa y molestias varias con la que se mantienen los sitios web, ya sea publicidad como la de Google, Adsense, o empresas que distribuyen contenido peligroso.

Sin tener en cuenta lo antes mencionado, la dueña del equipo ingresa a la página de descargas, y se encuentra con muchos botones que invitan a "Descargar", "Descargar ahora", "Descargar Gratis", "Download Now", a los que, de a uno, les hace clic, guarda cada archivo y los ejecuta, porque, aparentemente, al tratar de iniciarlos, éstos no iniciaban.

No la culpo en absoluto: hay demasiados carteles falsos y muchos son muy convincentes y es por eso que recomiendo enfáticamente, usar uBlock para bloquear e invisibilizar la publicidad, engañosa o genuina; como sea, pero sacarla de nuestro alcance.

Botones similares a estos abundan en las páginas de descarga, cuando no se usa un bloqueador de publicidad

En este momento, un virus de tipo ransomware se ejecuta sin que ella lo sepa y comienza con el trabajo para el que fue diseñado.

Se encarga de encriptar, bloquear, codificar, cifrar, "secuestrar" todos los archivos personales alojados en su equipo, como imágenes, videos, documentos de texto, PDF, etc.

La siguiente acción del virus es copiar en cada carpeta un archivo titulado "Readme.txt", en el que el delincuente, detrás de este software, le explica que sus archivos han sido cifrados; que no podrá acceder a ellos hasta que pague el rescate; que le ofrece desencriptar / desbloquear sólo un archivo a modo de prueba; que le ofrece un descuento si accede a abonar el costo dentro de las 72 horas; etc. Al final del texto le deja un e-mail temporal para contactarlo.

A esta altura, lo que debe hacer, es apagar su equipo y llamar a su técnico de confianza, en este caso yo, y no sería mayor problema, ya que ella guarda una copia de todo lo importante, incluido el contenido de su PC, en un dispositivo externo y offline -desconectado-. En resumidas cuentas, tiene sus archivos seguros.

Con la reinstalación de Windows, para una limpieza completa y segura, sólo hubiera sido un susto y una buena enseñanza para futuras ocasiones. Pero acá no termina.

Sin contactarme aún y con la intención de recuperar los archivos a los que no puede acceder, conecta el mencionado disco externo y en este momento es cuando el virus bloquea también todos los archivos alojados en él.

Es recién ahora que se pone en contacto conmigo para pedir ayuda.

Utilizando mis servicios a distancia, en pocos segundos me doy cuenta en qué tipo de problemas estaba su dueña.

Carteles en la pantalla, que por más que los cierre, vuelven a aparecer; archivos personales que al principio están disponibles, luego de un rato quedan igual que el resto; al abrir el Administrador de tareas, se puede ver varios procesos ajenos a Windows o programas conocidos, pero que tienen nombres similares sólo para confundir, como 40k.exe, linda.exe, y varios más. Y por supuesto, el archivo .txt replicado en cada carpeta.

Los seleccionados en azul son los archivos del virus que se inician con Windows

Luego de confirmar esto, le indico que esto no se puede solucionar a distancia y que la mejor opción es guardar los archivos en un medio limpio, reinstalar el sistema y dejarla en perfectas condiciones, porque por más que pudiera quitar los archivos y procesos maliciosos, es muy posible que queden rastros inactivos del virus, que pudieran activarse a futuro. Y para más tranquilidad y siguiendo mi filosofía de trabajo, la mejor opción es empezar de cero.

Respecto a la recuperación, o mejor dicho descifrado, de los archivos le comento desde el principio que, desde mi parte, no le puedo garantizar el éxito en esa tarea, porque éstas están fuera de mi área de trabajo y conocimiento, pero que haré todo lo posible por buscar la manera de ayudarla, para evitar recurrir a servicios que se dedican a esto -y más costosos- y, mucho menos, pagarle a un delincuente.

Todo lo que intenté para recuperar sus archivos, no funcionó.

Al intentar buscar archivos borrados del disco externo, sólo se encontró una decena entre miles de irrecuperables.

Descargué una aplicación que se encarga de quitar el cifrado de los archivos con extensión .fate, pero tampoco hubo caso.

Busqué bastante más información en internet, pero terminé en un callejón sin salida.

En resumen, el equipo fue reinstalado desde cero, sus archivos fueron ubicados en el mismo disco que había sido afectado, en espera de alguna solución efectiva.

Al principio, la PC no reconocía el disco.

Para conocer el origen de esta falla habría sido necesario revisarla en ese momento. Cuando la revisé noté que la placa madre mostraba ciertas fallas, las cuales también le comuniqué a la dueña.

• Utilizar la opción de "Iniciar Reparación de Inicio".

Lo que hay que hacer cuando sucede eso es elegir "Iniciar Windows normalmente"

• Restaurar Windows, lo que elimina gran parte del trabajo realizado.

Esto no era necesario.

• Tratar ella misma de reinstalar los programas borrados.

Como técnico le hubiera ofrecido realizar el trabajo a distancia, en 1 hora o poco más y por poco dinero, hubiera estado lista.

• Ingresar a páginas de descargas sin bloqueador de publicidad.

Me había comentado que intentó instalar un Office que ya tenía en su disco, pero al no funcionar, se vio obligada a buscar en internet.

• Al no tener un bloqueador, ser confundida por tantos botones falsos de descarga.

Hacer clic en esos botones puede devenir en cualquier tipo de problema para nuestras computadoras, desde Ransomware hasta programas espías o llenar el equipo de varios programas basura, que cuesta demasiado eliminar.

• Por último, anular la única oportunidad de salvar todos sus archivos, al conectar su disco externo a la PC infectada.

A esta altura ya no hay mucho que hacer para un usuario o para un técnico convencional, teniendo que intervenir en el asunto gente especializada en estas amenazas.

Al darme por vencido y no poder llegar a buen puerto, le expliqué a la dueña del equipo que por más que yo comenzara a leer e informarme sobre el tema, no podría convertirme en experto en este tema en un par de días, yo soy experto en lo que a instalación y optimización de Windows se refiere; por lo que le recomendé consultar con gente dedicada a estos temas, como programadores o ingenieros en software, especializados en seguridad.

Esta situación me obligó a crear este posteo para alertar no sólo a mis clientes, sino a toda aquella persona que tiene una PC, gusta de la lectura y necesita métodos para proteger sus archivos de los peligros actuales.

9)Cuidado con el pishing

El pishing se lleva a cabo cuando un delincuente te hace entrar en una página web falsa, exactamente igual a una original.

El robo de tus datos se lleva a cabo cuando vos mismo ingresás los datos de tu cuenta en esas páginas falsas.

Tené en cuenta las siguientes recomendaciones

•Los favoritos de estos ladrones son sitios web como -aHome Banking -bRedes sociales -cTiendas virtuales -dCorreos electrónicos -ePáginas de búsqueda laboral, etc.

•Ser precavido es esencial. Observá la dirección de la página web antes de ingresar datos en la misma.

En la imagen: parece ser Facebook, pero realmente no lo es, lo podemos comprobar viendo el enlace en la barra de direcciones

10)Con los emails pasa lo mismo

•Revisá si dice algo como bancopatito@hotmail.com, bancopatito@special.link o similares, es una estafa.

•En cambio, si dijera info@bancopatito.com, en este caso estamos frente a un correo veraz de Banco Patito.

>>> Verdadero: info@skypc.com.ar

>>> Falso: info-skypc@hotmail.com.ar

>>> Verdadero: info@bancoseguro.com

>>> Falso: bancoseguro@gmail.com

•Cuando luego del símbolo @ aparece el nombre de la entidad, se trata de un e-mail que fue enviado por la misma.

@youtube.com, @facebook.com, @skypc.com.ar, etc.

•No hagas clic en ningún enlace, ni imagen que te envíen. Antes que nada, es recomendable revisar hacia dónde dirige posando el puntero del mouse sobre el mismo.

•Tampoco abras ni descargues archivos adjuntos, si no conocés al remitente.

Acá se deja ver que el enlace que figura en el cuerpo del correo es falso, ya que en la barra de estado se refleja la dirección a la que apunta realmente