Blog Widefense

Ransomware – Cómo recuperar los datos sin pagar el rescate

Escrito por Kenneth Daniels | 17-jul-22

En la actualidad las posibilidad de recuperar los datos encriptados por ransomware con bajas. Suele ser muy difícil encontrar un algoritmo de descifrado universal para el ransomware moderno. Por eso, normalmente lo único que la víctima puede hacer es pagar el rescate. Según estadísticas de Kaspersky Labs 36% de las personas que pagan el rescate no recuperan sus archivos y es por esto que no recomendamos hacerlo a menos que sea el último recurso, asumiendo el riesgo. 

 

1. Recuperar el archivo de copia de seguridad

La manera más eficiente y efectiva de recuperar los datos es restaurar archivos de datos desde una copia de seguridad. En la mayoría de los entornos corporativos los archivos se respaldan regularmente para que la recuperación no sea un problema. Normalmente se realiza una copia de seguridad para las unidades compartidas y asignadas. Los datos de escritorio del usuario raramente se guardan. 

Los usuarios deben hacer una copia de seguridad de los archivos en una unidad de red o unidad USB y desconectarlo después de la copia de seguridad. Casi todos los ransomwares cifran las unidades de red.

 
 

2. Utilice los servicios integrados de control de versiones de archivos como Windows Volume Shadow Copy

Windows Volume Shadow Copy se puede activar en cualquier unidad. Mantiene el historial de versiones de todos los archivos de la unidad y hace posible volver a la línea de tiempo. Sin embargo, los ransomwares más recientes intentan eliminar todas las copias de la sombra usando un comando de Windows
«C: \ Windows \ Sysnative \ vssadmin.exe» Eliminar sombras / todo / silencioso «

Es un hecho interesante que la función de copia de instantáneas de volumen también es utilizada por malware para almacenar un código malicioso y sobrescribirlo con contenido inocente para evadir el análisis antivirus incluso con una firma actualizada. Este código malicioso se recupera y ejecuta posteriormente cuando es necesario.

 

3. Recuperar los datos más críticos utilizando técnicas forenses

Cuando se abre un archivo para su edición, casi todas las aplicaciones crean una copia temporal del archivo original. Todos los cambios se realizan en el archivo temporal que sobrescribe el archivo original cuando se guarda. Así es como Microsoft Office recupera archivos si la aplicación se cierra abruptamente. Una vez que un usuario sale de la aplicación, el archivo temporal se elimina. En Windows, eliminar un archivo significa eliminar el puntero del archivo (no del contenido) en el sistema de archivos NTFS / FAT / EFS. Este espacio se marca entonces como libre y disponible para sobrescribir. Utilizando las técnicas forenses avanzadas, es posible recoger el espacio libre en el disco para obtener información útil. Cuanto más tiempo se utilice el sistema después de un ataque, mayor será el riesgo de sobrescribir los archivos originales.

Por ejemplo, durante el proceso de cifrado, Cryptolocker 2.0 crea un nuevo archivo .encrypt. Lee el contenido del archivo original y lo guarda en la memoria, luego encripta el contenido y escribe el contenido cifrado en el archivo ‘.Encrypt’ – después de lo cual se eliminan los archivos originales.

Se espera que la versión más reciente de ransomware utilice programas incorporados de Windows para eliminar permanentemente los datos. Por ejemplo, en ventanas, una herramienta integrada diseñada para cifrar y descifrar datos también puede emplearse para eliminar permanentemente el contenido mediante el comando «cipher / w c: \ backup.txt». 

Un comando similar en Unix (dependiendo de la distribución) es «srm» o «rm – p» que se puede utilizar para borrar un archivo a un estado irrecuperable. 

Eliminar de forma segura un archivo lleva más tiempo que crearlo. Normalmente, los hackers estudian el patrón de uso del objetivo y realizan un proceso de eliminación de cifrado / seguro cuando el sistema no está en uso. 

 

4. Encontrar fallas en la implementación del cifrado

La mayoría de los ataques contra el cifrado son exitosos debido a defectos de programación o arquitectura en la rutina de cifrado, como el uso de una semilla repetitiva, predecible o información errónea sobre la fuerza de las rutinas criptográficas, etc. 

Una variante de cryptolocker, Racketeer, que se extendió a través de un falso correo electrónico de Energy Australia, usó un proceso defectuoso de generar un par de claves RSA en la máquina de una víctima, que luego se resquebrajó durante el análisis y la clave privada fue recuperada usando la técnica de fuerza bruta. 

En otro caso, el investigador de seguridad Fakebit (fakebit.com) descubrió un intento fallido de falsificar el criptorrector bien diseñado. Esta variante decía utilizar RSA de 2048 bits, pero en su lugar utilizaba el Tiny Encryption Algorithm (TEA). 

 

5. Aplicación de la ley rastrea a los criminales y se apodera de las claves privadas. 

Ransomware es una amenaza constante, y los gobiernos y los proveedores de TI tienen que unir fuerzas para llevar a los criminales a la justicia. 

Un notable esfuerzo combinado por parte del sector privado y del gobierno es «Operación Tovar» contra la botnet Gameover Zeus. Gameover Zeus era una red peer to peer de botnet y fue ampliamente utilizado como plataforma de lanzamiento para ataques cryptolocker. En 2014, los funcionarios de la aplicación de ley de los EEUU anunciaron el éxito de la operación Tovar e interceptaron la transferencia de 500.000 llaves privadas. El creador de Gameover Zeus botnet, apodado «lucky12345» fue identificado como un hombre ruso, Evgeniy Bogachev. En febrero de 2015, el FBI anunció una recompensa de $ 3million para cualquier información sobre su paradero.

Finalmente la Europol EC3 en conjunto de algunos colaboradores como Intel Security y Kaspersky, ha publicado herramientas para desencriptar archivos afectados por algunos tipos de Ransomware. Puedes revisarlas en: https://www.nomoreransom.org 

 

Fuente: SANS Institute: InfoSec Reading Room – Enterprise Survival Guide for Ransomware Attacks https://www.nomoreransom.org