Cryptolocker es un troyano ransomware, es decir, malware que se instala en nuestro ordenador para restringirnos el acceso a las zonas que infecta, en este caso, encriptando nuestros archivos. Como no puede ser de otra manera, el creador de este ataque busca su beneficio económico, así que nos pide una cuantiosa suma por darnos la clave que desencripte nuestros archivos.

Los gobiernos utilizan la expresión “No negociamos con terroristas“, y en Microsoft Insider, creemos que no hay que negociar ni ceder al chantaje de los creadores de este tipo de software. Por lo tanto, vamos a intentar explicaros el proceso para la eliminación del malware y la recuperación de vuestros archivos.

Estos últimos días, Cryptolocker se ha vuelto muy popular en España debido al incremento de la tasa de ciberataques de este tipo durante el mes de abril, según el Instituto Nacional de Ciberseguridad. Cryptolocker entra a nuestro equipo haciéndose pasar por un email de Correos, el usuario lo toma como original, sigue los pasos y finalmente acaba descargando un archivo ejecutable que parece ser un documento PDF. El texto vendría a ser el siguiente:

Su paquete ha llegado 29 de abril. Courier no pudo entregar una carta certificada a usted. Imprima la información de envío y mostrarla en la oficina de correos para recibir la carta cerficiada.

Descargar información sobre su envío.

Si la carta certificada no se recibe dentro de los 30 días laborables Correos tendría derecho a reclamar una indemnización a usted para el está manteniendo una cantidad de 8,95 euros por cada día de cumplir. Usted puede encontrar la información sobre el procedimiento y las condiciones de la carta de mantener en la oficina más cercana. Este es un mensaje generado automáticamente.

En esta parte deberíamos empezar a sospechar, primero porque el archivo descargado viene comprimido como ZIP y segundo, porque normalmente cuando abrimos un documento de PDF, Windows no nos pide permisos de administrador. En cuanto damos permisos de administrador al “inocente” archivo, estamos perdidos.

Así somos infectados por Cryptolocker, por Microsoft Insider

Cómo eliminar a Cryptolocker

Para acabar con Cryptolocker, vamos a necesitar dos herramientas: Norton Power Eraser y Malwarebytes Anti-Malware, con el primero eliminaremos el malware y con el segundo, los restos que queden una vez eliminado. A la hora de descargarlas, guardamos sus archivos de instalación en un pendrive, y reiniciamos el ordenador en modo seguro con funciones de red.

Relacionado:  Adobe XD se prepara para su llegada a la Tienda de Windows

Los usuarios de Windows Vista y Windows 7, únicamente deben pulsar F8 durante el arranque de su equipo, y seleccionar Modo seguro con funciones de red con las flechas del teclado y pulsar Enter una vez esté resaltada dicha opción.

Modo seguro con funciones de red Windows 7

En Windows 8.1, el procedimiento es algo más largo aunque bastante simple, para empezar pulsamos la tecla Mayus mientras hacemos clic en Reiniciar. Pulsamos sobre Solucionar problemas, y a continuación sobre Opciones avanzadas, después en Configuración de inicio y en el botón Reiniciar. Una vez se reinicie, cuando nos aparezca la pantalla de configuración de inicio, pulsamos F5.

Modo Seguro Windows 8.1 por Microsoft Insider

Dentro del modo seguro, conectamos el pendrive y ejecutamos Norton Power Eraser con permisos de administrador, al ser portable, no requerirá de instalación. Aceptamos el acuerdo de licencia de Norton y clicamos en el botón Analizar en busca de riesgos. Nos aparecerá un mensaje diciendo que es necesario reiniciar, damos a Aceptar, y volvemos a reiniciar en modo seguro con funciones de red.

Norton Power Eraser para eliminar Cryptolocker por Microsoft Insider

Tras el reinicio, Norton Power Eraser se abrirá automáticamente, si no empieza el análisis, pulsamos nuevamente en Analizar en busca de riesgos. Una vez finalizado el análisis, hacemos clic en Reparar ahora, tras lo cual tendremos que reiniciar, aunque esta vez realizaremos un reinicio normal.

Norton Power Eraser para eliminar Cryptolocker por Microsoft Insider

Como podréis observar, Windows ahora se iniciará de forma normal y no nos aparecerá ninguna ventana emergente relacionada con Cryptolocker, aunque aún tendremos muchos archivos con una extensión .encrypted que tendremos que recuperar.

Por último, para asegurarnos de que no quede ningún resto de Cryptolocker en nuestro equipo, instalamos Malwarebytes Anti-Malware y hacemos un análisis. Así nos aseguramos de que no quede ninguna amenaza latente, y quién sabe si así descubrimos también algún malware oculto que no fuese este ransomware.

Cómo recuperar nuestros archivos

Windows Vista y Windows 7

Si sois usuarios de Windows Vista o Windows 7, nos vamos a ver beneficiados por la característica “Versiones de archivo anteriores”. En estos sistemas operativos, Windows al instalar actualizaciones suele crear un punto de restauración y con él, una copia oculta de nuestros archivos para restaurarlos en caso de que algo fuese mal durante la instalación de las actualizaciones.

Lo más sencillo en este caso suele ser abrir la ubicación que contiene la copia oculta de nuestros archivos, para ello hacemos clic derecho sobre la unidad en la que se encontraban, pulsamos en Propiedades y vamos a la pestaña Versiones anteriores donde seleccionaremos una copia con fecha anterior a la entrada de Cryptolocker y clicaremos en Abrir.

Versiones anteriores Windows 7 por Microsoft Insider

Aparecerá una ventana con todos nuestros archivos tal cual estaban en ese volumen del disco duro antes de la infección, de ahí copiaremos aquellos que necesitamos, ya sean todos o simplemente los de nuestras carpetas de documentos, música, imágenes… a nuestras carpetas habituales. Dentro de la ubicación de la copia oculta, recordad que las carpetas mencionadas anteriormente suelen encontrarse en la carpeta Usuarios > Nombre del usuario.

Relacionado:  Adobe XD se prepara para su llegada a la Tienda de Windows

En la siguiente imagen podéis ver en el lado izquierdo, los archivos de la carpeta Mis documentos dentro de la copia de versión anterior, y en la derecha, la carpeta Mis documentos que utilizamos normalmente en la que ya se han copiado los archivos de la versión anterior, por lo que conviven los archivos encriptados con los que hemos rescatado.

Versión anterior y versión después de copia

Cuando hayamos terminado de copiar todos nuestros archivos, en el cuadro de búsqueda de la unidad o de las carpetas que hayamos restaurado escribiremos *.encrypted, esto hará que solo se muestren los archivos encriptados, que como ya habremos restaurado los archivos no encriptados, podremos eliminar directamente.

A continuación, tenéis una captura del mismo proceso de búsqueda para eliminar los archivos pero con la extensión .qeqhobk, archivos cifrados por CTB-Locker, una variante aún más despiadada de Cryptolocker, ya que si no pagas el rescate de tus archivos antes del final de una cuenta atrás, los destruye. Este tutorial es válido también para dicha variante.

CTB-Locker, Archivos qeqhobk por Microsoft Insider

Es necesario aclarar que al utilizar copias que Windows crea durante la instalación de actualizaciones, con este proceso y el siguiente para Windows 8.1, perderemos nuestros archivos y modificaciones realizadas desde que se creó la copia oculta, que bien podría ser del día anterior o de hace una semana.

Windows 8.1

A partir de Windows 8, Microsoft eliminó el acceso a la copia oculta como característica del sistema, aunque mantuvo los puntos de restauración y por lo tanto, se siguen haciendo copias ocultas de nuestros archivos. La dificultad aquí es que tendremos que utilizar un programa de terceros llamado ShadowExplorer.

Al haber cambiado Cryptolocker las extensiones de nuestros archivos a .encrypted, ShadowExplorer no reconocerá las copias ocultas de nuestros archivos, por lo que tendremos que eliminar dicha extensión de los archivos que queremos recuperar.

Como renombrar cada archivo puede ser un proceso tedioso, en Microsoft Insider, hemos creado un script .bat que lo hace por vosotros. Lo único que tenéis que hacer es copiarlo y ejecutarlo en cada carpeta cuyos archivos queréis recuperar. Podéis descargarlo desde aquí.

A continuación, abrimos ShadowExplorer, nos dirigimos a las carpetas que contienen los archivos a restaurar, los seleccionamos, pulsamos con el botón derecho sobre ellos y clicamos sobre Export. Elegimos la carpeta en la que queremos restaurar la copia de los archivos, pudiendo ser la original en la que estaban los archivos .encrypted u otra cualquiera. Si elegimos la original, nos preguntará si queremos sobrescribir los archivos, le decimos que sí. Repetimos este proceso con todas las carpetas que queramos recuperar.

Relacionado:  Adobe XD se prepara para su llegada a la Tienda de Windows

ShadowExplorer por Microsoft Insider

Cómo evitar ser infectados por Cryptolocker

En el caso de Cryptolocker, el sentido común es nuestro amigo. Correos no suele enviar email para avisarnos de la llegada de una carta certificada, suele ser el cartero quien nos deja un aviso en el buzón de nuestra casa. Si encontramos más de dos faltas gramaticales claras deberíamos empezar a sospechar.

Normalmente en cualquier web semejante a la de Correos, a la hora de descargar un PDF, nos lo descarga directamente o nos lo muestra dentro del navegador, pero no nos pedirá descargar un archivo ZIP comprimido. Y, por último, si lo que en teoría debería ser un documento PDF, Windows lo muestra como aplicación, deberíamos temernos lo peor.

Si habéis sido infectados por Cryptolocker, espero que este tutorial os haya servido para recuperar vuestros archivos y si no habéis sido infectados, que os sirva para evitar serlo. Podéis dejarnos cualquier duda en los comentarios. Además, si tenéis cualquier otro problema con vuestro equipo Windows, estaremos encantados de ayudaros en el foro.

No hay comentarios