Recuperar archivos mediante el pago de Ransomware

Primero, determina qué variante de ransomeware has recibido. Dependiendo de cuál, puedes tener más opciones.

Como @Ohnana ha dicho que, en general, los operadores de ransomware son fieles a su palabra y, después de todo, les interesa. Si se supiera que ciertos grupos nunca permitieron que se descifraran los datos, dejarían de obtener dinero de sus víctimas.

Dicho esto, sugeriría que es importante antes de que pagues para intentar establecer de qué variante te has convertido en víctima. Hay herramientas de descifrado disponibles gratuitamente para varias variantes , y hay al menos una variante documentada que contiene un error que hace que descifrado sea imposible .

Una vez que haya establecido la variante que tiene, podrá investigar rápidamente lo que puede esperar que sea el proceso de descifrado, y si puede hacerlo utilizando una herramienta gratuita en lugar de pagarle al operador de ransomware.

Como consultor de TI respetable, nunca debe recomendar el pago de ransomware. Si falla, serás culpado. Si funciona, no lo culparán por recomendarlo porque el negocio sabe que están apostando y que fueron descuidados por dejarlo pasar. Y recomendar pagar un chantaje a un criminal empaña su imagen. Nunca usaría un plomero o un mecánico que recomendara pagar el dinero de un chantaje criminal ya que asumiría que estaban en connivencia con los delincuentes. Si usted es un consultor de TI, tiene acceso a las contraseñas únicas de esta empresa y, a menos que hayan violado una regla interna en contra de hacer algo en su red, es en parte responsable de que esto suceda.

También hay otras cosas que deberías saber sobre esto:

1. Los delincuentes instalarán una puerta trasera para que puedan disparar a la víctima nuevamente en los próximos 6 meses. Pagar ransomware no "restaura" la configuración. La configuración estaba pensada para comenzar porque entraron. El negocio aún necesita romper completamente y reconstruir la red correctamente para que esto no vuelva a suceder en el futuro.

2. Los autores de ransomware pasan MUCHO tiempo en blogs y publican historias falsas sobre cómo las empresas han restaurado sus archivos de forma rápida y sencilla mediante el pago. Eso no significa que ninguno de estos delincuentes restaure los archivos después de recibir el pago. Significa que, como todos ellos usan nombres falsos, no tienen ninguna reputación que perder al NO restaurar los archivos y no puedes confiar en estas historias apócrifas.

3. Las empresas que son víctimas de estafa NUNCA quieren hablar de ello. Recientemente, un cliente mío fue estafado por medio de un simple fraude falso por correo electrónico / transferencia bancaria de $ 20,000. Me rogaron que no mencionara su nombre en los foros públicos. Ese mismo cliente fue víctima de un ataque Cryptolocker hace aproximadamente un año debido a que ignoré mis consejos sobre la seguridad de la red, y también me preguntaron sobre el pago (les dije que NO lo hicieran) y los recuperé de sus copias de seguridad. No pagaron y no perdieron archivos. Y tomaron medidas enérgicas contra sus empleados y comenzaron a hacer las cosas que les había dicho que hicieran durante algún tiempo. Lamentablemente, nunca compartieron conmigo cómo manejaban las transferencias bancarias, por lo que no pude explicar cómo lo hacían.

4. Esta víctima opera bajo el supuesto de que se trata de un tipo de trato comercial, que realmente tiene la opción de pagar un poco ahora para recuperar sus archivos o pagar más para obtener sus archivos de copia de seguridad. Eso es una ilusión y el hecho de que incluso lo estén contemplando muestra cuán lejanos están y, por cierto, muestra qué tan pobre es el trabajo que usted ha estado haciendo aconsejándolos. La realidad aquí es que están contemplando pagar a alguien que no está identificado, no tiene absolutamente ninguna reputación que perder, no tiene ningún incentivo para restaurar sus archivos y, de hecho, tiene un incentivo para NO restaurar sus archivos porque cuanto más trabajo hace el criminal para ayudar la víctima tiene más posibilidades de ser atrapada.

El delincuente no sabe con quién está tratando, no sabe si se trata de un negocio real o de una empresa principal que fue creada por la policía para detenerlos. La regla aquí es que cuanto menos se comprometan con la víctima, más seguro es para ellos. Una vez que obtienen el dinero si se quedan "ayudando", entonces es más probable que los atrapen.

En el caso de Cryptowall clásico, el virus por sí mismo generalmente llegará al C2C, tomará la clave privada y comenzará el proceso de descifrado. También hay una herramienta independiente que está precargada con una clave de descifrado que, de nuevo, inicia automáticamente el descifrado. La mayoría de los esquemas de ransomware harán que el proceso de rescate sea lo menos doloroso posible.

El FBI ha observado que muchos de estos Los operadores de ransomware son sinceros: quieren que la gente les pague, por lo que, irónicamente, mantener su lado del trato (?) resultará en el mejor resultado.

También, otro consejo extraño: consulte la documentación del virus. ¡Un esquema de ransomware no tiene éxito si no entiendes cómo recuperar tus archivos!

Hay algunos informes de personas que están recuperando sus archivos, sin embargo

• otras personas han informado que se solicitó un segundo pago inesperado después de eso (no es sorprendente, dado que esto es una extorsión)

• o simplemente gastar el dinero y no recuperar sus archivos

Incluso es posible que los delincuentes no puedan descifrarlos. Tal vez el usuario logró cifrarse dos veces, su encriptador tiene errores, su herramienta de "recuperación" corrompe aún más el archivo encriptado, puede haber habido un problema de red al enviar la clave a C & C, su servidor ha sido incautado ... Algunas familias de ransomware proporcionan descifrado gratuito de un solo archivo para demostrar que son capaces de hacerlo. Use con prudencia

También tenga en cuenta que dependiendo de su ubicación, puede ser ilegal pagar el rescate (usted está financiando a criminales).

Prefiero pagar un AV para recuperar los archivos en lugar de los criminales. Incluso puede ser gratis si tienes su marca instalada. Consulte, por ejemplo, Dr Web's

También me parece interesante la afirmación de que la empresa ha decidido que pagar el rescate es más barato que reconstruir y tratar de recuperarse . Incluso si paga el rescate y recupera sus archivos (lo cual es dudoso al menos), debe reconstruir la estructura infectada. ¿Cómo vas a confiar en la máquina que lograron infectar? Además, necesitan tomar medidas para que no vuelva a suceder. ¡Y en este caso ni siquiera saben cómo los infectaron!

Es sorprendente encontrar compañías que fueron víctimas de cryptolockers ... solo para ser reinfectadas algunos meses más tarde, y todavía no tienen ningún medio de recuperación.

El hecho de no poder recuperar los archivos de las instantáneas significa que el virus logró desactivarlos, lo que lleva a la pregunta ¿Por qué se estaban ejecutando sus usuarios como administrador?

O no tener un plan de respaldo (en funcionamiento), que puede infringir las regulaciones nacionales.

No puedes simplemente decidir pagar y ocultar los problemas debajo de la alfombra . Si te ha afectado un ransomware y no puedes recuperarte y continuar trabajando en cuestión de horas (unos días como máximo), tienes un gran problema. Como han descubierto el mal camino.

Proporcionando esta pregunta con información actualizada.

Interpol se ha asociado con la policía holandesa, Kaspersky e Intel Security para proporcionar un sitio donde las víctimas de ransomware puedan encontrar herramientas para descifrar sus archivos secuestrados de forma gratuita: No más rescate .

Esa es la mejor opción para tener la oportunidad de recuperar tus archivos; como ya se dijo, pagar el rescate no garantiza que recuperes tus archivos y al mismo tiempo te hace apoyar actividades delictivas.

Un par de puntos que me gustaría agregar:

• Una vez que haya decidido pagar, no pierda demasiado tiempo. No estoy aconsejando que deseche el dinero de su cliente sin darle un poco de cuidado, pero esperar otro mes para que aparezca una herramienta gratuita es un mal plan: es probable que los ladrones desaparezcan o sean capturados, y sus datos pueden ser perdido para siempre.
• No parezca que representa a una empresa que tiene dinero para gastar: esto aumentará las posibilidades de que se solicite un segundo pago. Y si le ofrecen una prueba de descifrado gratuita, no envíe ningún archivo relacionado con el negocio. Fingir que eres una pequeña empresa o una persona privada que busca recuperar tus fotos funciona mucho mejor:

Laimagenesde este artículo que describe, entre otras cosas, ¿Qué pasa cuando decides pagar?