Identificar ransomware con Crypto-Sheriff

El ransomware -a veces denominado Cryptoware– podría definirse como la lacra informática de nuestro tiempo. Si no tenemos mucho cuidado y un poco de suerte, podríamos acabar con nuestros archivos totalmente inutilizables, para siempre. Por suerte, existen herramientas que nos permiten identificar el ransomware, caso de la herramienta que os presento hoy, Crypto-Sheriff.

Como alternativa, os recuerdo que ya analicé otra utilidad que no permite saber qué ransomware ha infectado nuestros archivos: ID Ransomware.

En no pocos casos, podremos incluso recuperar total-parcialmente nuestras cosas, pero primero necesitamos conocer la amenaza que nos aqueja, porque existen decenas, cientos de variantes de ransomware.

Tipos de ransomware

Aprovechando la ocasión, introduciré brevemente los diferentes tipos de ransomware que actúan a día de hoy, afectando casi cualquier dispositivo personal que podamos tener a mano:

• Ransomware de cifrado: altera y bloquea archivos en base a extensiones predefinidas en su código. Ejemplos: Cryptolocker, Petya, CryptXXX y tantos otros, la mayoría. Eliminar este tipo de amenazas depende de factores como errores en su código, captura de servidores por parte de las autoridades, arrepentimiento de los creadores y psoterior publicación de claves maestras…
• Ransomware de bloqueo: intenta aparentar un bloqueo completo, limitándose a bloquearnos el acceso a nuestras aplicaciones mientras el equipo está encendido, bloqueando procesos de Windows, antivirus, etc. Sin embargo, este tipo no cifra los documentos. Ejemplos: WinLocker y el ya viejo «virus de la policía».
• Ransomware de MBR: el Master Boot Record o registro de arranque maestro permite que el sistema operativo instalado pueda arrancar. Algunas muestras de este malware cifran el sector de arranque del disco en lugar de hacerlo con los archivos, por lo que se pueden recuperar normalmente con herramientas forenses.
• Ransomware mobile: desde hace ya tiempo los móviles son capaces de infectarse por medio de descargas dirigidas desde aplicaciones -aparentemente útiles- que pretenden ser lo que no son. Es importante mantener el teléfono actualizado y con un antimalware activo. Hablamos de Android principalmente (aunque no de forma exclusiva).
• Enfocado a servidores web: cada vez más, existen muestras que van dirigidas a infectar servidores web, aprovechando vulnerabilidades conocidas y no parcheadas. La web en cuestión quedará inutilizable o incluso podría llegar a infectar a usuarios visitantes.

Identificar ransowmare con Crypto-Sheriff

Al grano. Si necesitamos identificar una amenaza en uno de nuestros aparatos la mecánica es siempre la misma: deberemos enviar un archivo afectado por el ransomware. Para esta herramienta en concreto además se nos pide, si lo tenemos, una «ransom note» o documento de demanda que vemos en muchos casos:

Con ambas pruebas a mano, accederemos desde un equipo funcional, habiendo extraído previamente los documentos, a la web Crypto-Sheriff perteneciente a la iniciativa NomoreRansom.

Seguiremos las instrucciones que nos dan, cargando ambos archivos y escribiendo en la parte derecha cualquier dirección de email reconocible que veamos en la nota o el  propio malware.

Recuperar archivos infectados por ransomware

Una vez identificado el ransomware (si es que tenemos suerte) podremos buscar algún remedio en la web NoMoreRansom, así como en mi propio blog, donde mantengo una exhaustiva lista «viva» con este tipo de amenazas, extensiones afectadas y herramientas de recuperación.

Herramientas para recuperar archivos afectados por ransomware

Me despido  dejando un vídeo por si alguien lo pudiera necesitar 😉