Esta semana recibí un cliente que fue hackeado. Se trata de una empresa de logística en los Estados Unidos la cual recibió un e-mail sospechoso, lo abrió y perdió absolutamente todos sus documentos.
Por Hernán Porras Molina | WEB24 IT Services
El email que recibió contenía un código de seguimiento de una reconocida empresa de correos aquí en Estados Unidos, con información sobre el paquete que el cliente había supuestamente enviado y que se encontraba perdido. Para más mala suerte, nuestro cliente efectivamente tenía un paquete perdido y pensaba que el email era realmente de la empresa de correos. El cliente abrió el email, corrió el archivo y todos los documentos de su máquina fueron literalmente secuestrados.
Tenga mucho cuidado con ese correo electrónico que acaba de recibir el mismo puede contener un archivo.zip o .rar que contiene un malware que encripta todos los documentos presentes en su computadora, documentos personales, fotos, documentos de Word, presentaciones de Power Point, documentos de Excel, etc.
Una vez que el Malware se instala en su computadora toma secuestrado el sistema y monta un archivo de Notepad en su carpeta de inicio para que cada vez que usted abre la computadora aparezca el texto diciendo las instrucciones a seguir para abrir una cuenta de BitCoins y proceder a depositar en la cuenta del Hacker-ciberdelincuente, argumentando que si no lo hace en menos de 72 horas, él mismo borrará todos sus documentos y usted mas nunca podrá acceder a ellos. En el mensaje, el hacker que tiene su computadora secuestrada, le dice cosas como que mas nadie lo puede ayudar y que sus documentos solamente los podrá recuperar con la clave que él le suministrará si usted paga. En realidad sus documentos están en la computadora, no debe usted preocuparse no le pague al hacker ya que hay varias maneras de recuperar todos sus datos. En el Notepad dejan un documento parecido a este pero en total inglés:
Es un tema bastante complicado para el que no conoce mucho, pero muy sencillo si sabe sobre la nociones básicas de la computadora como: instalación de programas, manejo de archivos o como cambiar nombres o extensiones de archivos. A continuación le voy a suministrar información para que no caiga por inocente en estos juegos de los ciberdelincuentes o si están tratando de extorsionarlo con sus documentos personales.
Para recuperar sus datos debe seguir dos pasos básicos, el primero tiene que ver con la desinstalación del malware o virus de su máquina. Si no lo desinstala y se le ocurre pagarle a los ciberdelincuentes ellos podrían activar el malware cada vez que quieran quitándole miles de dólares cada vez que a ellos se les antoje. Para desinstalarlo debe ir a la cónsola de recuperación de Windows (en caso de una PC) y restaurar una versión del sistema operativo anterior a la fecha del hackeo. Una vez realizado esto debe entonces usted bajar un programa llamado ReCuva bájelo desde la página web del desarrollador https://www.piriform.com/recuva Este software le permitirá recuperar los archivos de una capa Shadow de su disco duro. Es una capa mirror que tiene una copia exacta de los datos de su disco duro en la fecha que él le sugiere. Trate de buscar una fecha anterior al hackeo para que los archivos no vengan encriptados. Toda esta tecnología forense es la que permite recuperar todos los archivos que estuvieron en su discoduro antes de haber sido encriptados o borrados por el ciberdelincuente.
En el caso de mi cliente él solamente quería recuperar los archivos .doc, .xls, .ppt .pdf, .jpg y .png por lo cual configuré la búsqueda solamente para esos archivos. El sistema tardó 3 horas en buscar todo en la capa shadow del disco duro. Recomiendo que cuando recuperes los archivos los guardes en un pendrive o disco externo antes de guardarlos de nuevo en el disco duro local de tu máquina. Una vez recuperado los datos busca todos los archivos .cripted de tu máquina y procede a borrarlos. Borra también los temporales de internet. Los amigos de Piriform tienen un programa llamado CC Cleaner que te puede ayudar también con todo esto.
Con esto le pusimos fin a la pesadilla que significa que un ciberdelincuente tome tus datos y te los secuestre pidiéndote rescate. Es una pesadilla que no se la deseo a nadie. Si algo así le ocurre hable con su técnico de confianza o con el amigo que seguramente conoce a un amigo que hace este tipo de trabajos de recuperar datos borrados o perdidos. No abra esos correos sospechosos y tenga mucho cuidado con su teléfono móvil que ahora los ciberdelincuentes andan mandando hasta mensajes de texto para convertir su teléfono en un zombie.
Hernán Porras Molina
CEO WEB24 IT Services
[email protected]
@hernanporrasm
www.web24it.com