Cómo borrar el virus Cryptowall y recuperar archivos bloqueados

Cómo borrar el virus Cryptowall, CrytoLocker, CryptoFortress, TorrentLocker, TeslaCrypt y recuperar archivos bloqueados. Que tal estar usando el ordenador y, de repente, aparece una ventana con un mensaje, diciéndote que tus archivos fueron “secuestrados” y que debes pagar la suma de US$ 500 para poder recuperarlos.

Esta es la acción de las plagas digitales llamadas ransomware. Este malware del tipo “Crypto” estas están en activo desde hace muchos años, pero eran un problema mayor en los países del este de Europa, principalmente en Rusia. Sin embargo, estos criptovirus han pasado las fronteras y cada vez más, hay registros de casos en los Estados Unidos, Sur América y ahora también en España. Diferente de los ladrones de contraseñas bancarias (el tipo más común de virus en varios países), estas plagas son muy visibles cuando contaminan el ordenador, ya que después de secuestrar los archivos, te bloquean la pantalla con el mensaje de la petición de “rescate”.

¿Qué son, cómo funcionan los ransomware? ¿Se pueden eliminar y desbloquear los archivos codificados por un criptovirus?

Los primeros códigos con este comportamiento eran muy simples, y los antivirus podían no sólo eliminar la plaga digital, si no también recuperar los archivos secuestrados. Antes de eso, los ciberdelicuentes usaban algo más indirecto, porque la petición de “rescate” se daba por medio de un programa antivirus fraudulento creado por los propios delincuente y que podría “limpiar” el equipo de un virus. Ahora, sin embargo, el fraude no se anda por rodeos, y recuperar los archivos codificados es muy difícil.

Borrar virus

Esto porque, los ciberdelincuentes han creado el malware llamado CryptoLocker. Este malware utiliza una fórmula de clave pública y privada, y cifra o codifica los archivos de tal manera que ya no pueden ser leídos sin la contraseña. En este esquema, si la victima paga la cantidad que se pide, la “clave” para decodificar los archivos nunca se envían al ordenador de la víctima. En algunos virus de este tipo la clave podía ser leída de la memoria, de un archivo o hasta incluso adivinarla usando un ataque por fuerza bruta”.

Con la técnica del virus CryptoLocker, esto no es posible. Por ejemplo CryptoWall 3.0 la hora de codificar los archivos usa claves de cifrado RSA-2048.

Aunque la amenaza del malware CryptoLocker haya desaparecido, gracias a una acción de las autoridades para desmantelar una red zombie que lo distribuía, los estafadores han copiado el funcionamiento de CryptoLocker en nuevos códigos, como Cryptowall, CryptoFortress, TorrentLocker, y el más poderoso del momento seria el Cryptomalware.

Cuando uno de estos virus llega al equipo, cifra los archivos y te muestra un mensaje diciendo que es preciso pagar la suma de US$ 500. En caso de que el valor no sea pagado dentro de un plazo definido por los delincuentes, el cobro del “rescate” se eleva a US$ 1.000. Para recibir el dinero, los ciberdelicuentes usan la moneda virtual Bitcoin, lo que puede ser hecho de forma anónima.

Cryptowall

¿Qué tipos de archivo secuestra el malware: CrytoLocker, Cryptowall, CryptoFortress, TorrentLocker, TeslaCrypt?

Aquí la respuesta puede ser variada, ya que cada virus secuestra un tipo o tipos de archivos, por ejemplo CryptoWall opta por codificar los archivos del tipo Office (Microsoft Office, OpenDocument), otros combinan estos documentos con imágenes, TeslaCrypt por ejemplo, se centra más en los juegos instalados, es decir cifra el contenido de las partidas guardadas.

¿Cómo borrar el virus y recuperar los archivos cifrados después de una infección?

Paso 1. Aquí vamos a ir por partes, ya que cada infección es un caso diferente, lo primero que debes hacer ante una infección de cualquier criptovirus: CrytoLocker, Cryptowall, CryptoFortress, TorrentLocker, TeslaCrypt es apagar el ordenador.

¿Pero porque vamos a apagar nuestro PC? Sencillo, mientras más tiempo lo dejes encendido, el criptovirus tendrá más tiempo en bloquear más archivos, y nos vamos a tomar más tiempo en tratar de recuperarlos, así de sencillo.

Paso 2. Debes tener a mano cualquiera de estas herramientas, un CD/DVD o USB con un antivirus, puedes ver el tutorial de cómo instalar un antivirus en una USB. Tener Hiren’s BootCD instalado en una USB o en un DVD a la mano.

Tener conocimientos para ingresar en el modo seguro de Windows y saber como iniciar el ordenador desde una memoria USB/DVD.

Paso 3. En este paso te lo dejo a tu elección: ya que puedes iniciar tu PC desde el antivirus que tienes en el DVD/USB, usar Hiren’s BootCD y ejecutar un escáner de virus online, o ingresar en modo seguro de Windows.

Eliminar el virus usando un antivirus portátil

Aquí puedes usar el antivirus en que más confianzas tengas, ya que puedes usar: Kaspersky Rescue Disk, Avira Rescue System CD, BitDefender Rescue CD, AVG Rescue CD, puedes copiar en un DVD, o instalarlos en una USB, también a tu elección.

Después que tengamos el antivirus portátil, procedemos a iniciar desde el, ya sabes que para ello tienes que cambiar el orden de boot de la BIOS.

Una vez que hemos iniciado nuestro PC con el antivirus portátil procedemos a escanear nuestro ordenador en busca del criptovirus: CrytoLocker, Cryptowall, CryptoFortress, TorrentLocker, TeslaCrypt.

Damos clic en Iniciar Escaner para buscar el virus

Si tienes problemas, puedes ver este tutorial de cómo borrar el virus policía usando el antivirus Avira, son los mismos pasos, asi que no tendrás problemas.

Borrar CrytoLocker, Cryptowall, CryptoFortress, TorrentLocker, TeslaCrypt usando el modo seguro de Windows

Ingresamos en el modo seguro de Windows, para ello presionas las teclas F8 en Windows 7 al momento de encender el ordenador y luego eliges modo seguro.

En la versión de Windows 8, para ingresar en el modo seguro es presionando al mismo tiempo las teclas “Shif + F8”, aquí tienes que ser rápido, porque Windows 8 se inicia muy rápido, así que me imagino que lo tendrás que intentar un par de veces (o varias veces).

modo seguro windows 8

Una vez dentro del modo seguro, podemos emplear cualquier antivirus que permita realizar un escáner online (necesitas acceso a Internet), también podemos usar malwarebytes en su última versión y actualizado, así como Norton Power Eraser, o Avira PC Cleaner, esto también te lo dejo a tu elección, ya que cualquiera de las formas que uses, vas a conseguir eliminar el criptovirus.

Dentro del modo seguro de Windows tenemos varias formas de eliminar el virus, como por ejemplo:

Borrar el virus de forma online

Puedes usar la herramienta de Eset Online Scanner, Kaspersky Security Scan, entre otros más.

Con Malwarebytes, Norton Power Eraser o Avira PC Cleaner

Antes de ingresar en el modo seguro de Windows tendrás que descargarte Norton Power Eraser, Malwarebytes o Avira PC Cleaner, luego lo instalas y después solo hay que esperar a que termine el análisis.

borrar virus Cryptowall

Usar Hiren’s BootCD para borrar el virus

Par eliminar el virus CrytoLocker, Cryptowall, CryptoFortress, TorrentLocker, TeslaCrypt con la herramienta Hirent BootCD es casi similar a como hacerlo en el modo seguro, digo casi similar, ya que solo vamos a emplear un antivirus online, para borrar el virus.

Eso si, tendrás que copiar Hirens BootCD en una DVD o en una memoria, luego cambiar el orden de la BIO, seleccionar “Mini Windows Xp” y acceder a cualquier antivirus online.

borrar virus Hirens BootCD

Recuperar los archivos cifrados por cualquiera de los virus

Después de borrar cualquiera el ransomware nos toca la parte más difícil, tratar de recuperar nuestros archivos bloqueados por el criptovirus, para ello existen tres formas, restaurar desde una copia de seguridad, recuperar archivos borrados y usando una herramienta de descifrado.

Primera método: recuperar los archivos desde una copia de seguridad

Si acostumbras a realizar copias de seguridad de tus archivos, esta parte va a ser muy fácil, solo tienes que recurrir a ellas, y asunto arreglado, pero si no las tienes, tendremos que tratar de hacerlo con la segunda forma.

copia seguridad

Segundo método: usar un programa para recuperar archivos borrados

Para bloquear los archivos, el virus necesita crear nuevas copias de los archivos y después borrar las originales para realizar su “trabajo”. Esto significa que algunos datos pueden ser recuperados con las mismas herramientas que recuperan archivos “borrados” del equipo.

Para ello puedes usar DiskDigger, Recuva, o cualquier programa con el que estés familiarizado para recuperar archivos borrados.

Recuperar archivos DiskDigger

Te acuerdas que al comienzo de este artículo te dije que apagaras tu ordenador, pues el consejo era para esto. También, trata de no copiar nuevos archivos en el ordenador, ya que podría sobre escribir los datos que quieras recuperar.

Tercera forma: usar una herramienta de descifrado

Más arriba comentaba que arrestaron a los creadores del CrytoLocker, gracias a esto, se ha recuperado la clave en posesión de estos ciberdelincuentes, puedes probar la página DecryptCryptoLocker la cual descifra los archivos cifrados por versiones antiguas de este virus. También puedes usar la herramienta de Kaspersky pone a disposición.

descifrar archivos bloqueados

¿Cómo evitar la infección de CrytoLocker / Cryptowall / CryptoFortress / TorrentLocker / TeslaCrypt?

El medio de distribución más utilizado para este tipo de virus de hoy en día son los “kits de ataque” de la web. Estos kits se insertan en páginas legítimas que son modificadas por los hackers con una invasión al sitio web. O sea, no sirve de evitar sitios “dudosos”, porque los delincuentes hacen que la infección llegue hasta ti.

Lo que funciona es mantener el navegador actualizado. Si utilizas google Chrome, esto es automático. Para el Internet Explorer, mantenga el Windows Update activado. Y, en Firefox, esté atento a los avisos de actualización.

Si visitas alguna página y ella te pide que descargues un programa (aplicación) para ver algún contenido o una “actualización” que necesitas, no ejecutes el programa ni lo descargues. Avisos de actualización no aparecen dentro de la ventana del navegador. Estas advertencias son normalmente falsos y tienen programas maliciosos.

Tomando estos cuidados y el uso de un antivirus es suficiente para prevenir, pero no te olvides de hacer una copia de seguridad actualizado para restaurar tus archivos en caso de que el peor de los casos.

También puedes usar la herramienta CrytoPrevent, un programa que desactiva los permisos del cual se aprovecha un criptovirus para infectar Windows. Con este programa, será casi imposible, ejecuta el programa y marca las casillas como se ve en la imagen.

cryptoprevent

Esto es todo, espero que este tutorial te sea de ayuda para que puedas borrar y recuperar cualquiera de las versiones CryptoFortress / TorrentLocker / TeslaCrypt / CrytoLocker / Cryptowall.

Recuerda de compartirlo por Facebook, Twitter, Google +, si tienes alguna duda, ya sabes, deja un comentario con tu problema y trataremos de ayudarte.

Un pensamiento en “Cómo borrar el virus Cryptowall y recuperar archivos bloqueados

  1. Chigada

    buen info expones aqui para borrar este peligroso virus, a favoritos por si acaso lo necesito alguna vez, espero que no

Los comentarios están cerrados.