Saltar al contenido

Cómo recuperar archivos encriptados por CryptoLocker

Cómo recuperar archivos encriptados con Cryptolocker

En el mundo de la informática existen virus que dañan nuestros archivos, software y hasta el CPU de nuestros equipos. Cryptolocker es conocido como un troyano encriptador de datos que nos bloquea el acceso a zonas importantes de nuestro PC.  Es por ello que vamos a hablar sobre cómo recuperar archivos encriptados por CryptoLocker.

¿Qué es CryptoLocker?

El CryptoLocker es un troyano perteneciente a la categoría ransomware. Este tipo de virus se instala en nuestro equipo impidiendo el acceso a nuestros archivos ecriptados que ha infectado.

Los creadores de este troyano buscan un beneficio económico, ya que para poder desencriptar los archivos se debe aportar una buena suma de dinero. Cryptolocker ha adquirido mucha popularidad en la actualidad por este motivo. Por lo general la forma de contaminar nuestro ordenador es haciéndose pasar por un correo electrónico. El usuario piensa que es original, acaba siguiendo los pasos y descarga un archivo para ejecutar que tiene aspecto de PDF.

Lo que nos puede llevar a sospechar que se trata de este troyano, es porque el archivo adjunto en el email se descarga como ZIP. Es decir, un archivo comprimido y cuando se abre el documento en PDF el sistema no nos pide permisos para ejecutarlo. Al dar permiso al archivo el ordenador colapsa y todo se vuelve un desastre.

¿Cómo eliminar CryptoLocker?

Para eliminar este virus necesitamos:

 
  • Norton Power Eraser, que nos permite eliminar el malware por ser un programa antivirus.
  • Malwarebytes Anti-Malware, nos ayuda a deshacernos de los residuos restantes del troyano que quedan en el ordenador.
  • EaseUS Data Recovery Wizard, es un programa que nos permite restaurar los documentos que se hallan ocultos y aquellos que han sido borrados.

HACK: Si te das cuenta al instante de que el virus está invadiendo el ordenador lo indicado es desconectar la conexión de red para evitar que se cifre una gran cantidad de archivos.

Cuando descargues las herramientas anteriormente señaladas, debes guardar los archivos de instalación en un pendrive para poder reiniciar el sistema en modo seguro donde contemos con funciones de red.

Para los ordenadores que cuenten con Windows 7 y Windows Vista, lo único que se debe hacer es pulsar la tecla F8 en el momento del arranque para que puedas seleccionar con las flechas del teclado el “Modo seguro con funciones de red” y pulsar la tecla Enter para que se ejecute la opción.

CryptoLocker encripta los registros, primeramente realiza una copia de ellos, los encripta y después elimina el original.

Desencriptar archivos con Cryptolocker

Recuperar archivos con EaseUS Data Recovery Wizard

Los pasos para restaurar los archivos con EaseUS Data Recovery Wizard de manera general son:

  1. Lo primero es seleccionar el disco duro que haya infectado y escanearlo.
  2. Lo ideal es ejecutar un análisis profundo y rápido para que todos los archivos que borró y ocultó el virus se encuentren.
  3. El programa te ofrece una opción de previsualización para restaurar los datos.
  4. Puede existir la probabilidad de que el programa no pueda recuperar los archivos que están cifrados, para ello se debe restaurar el sistema operativo con historial de archivos, Shadow Copy es un software de recuperación de terceros y copia de seguridad.
  5. La otra opción es elegir las propiedades de archivo que ha sido cifrado y lo restauras a la versión anterior.

En Windows 8.1

El procedimiento en este sistema operativo suele ser más largo pero simple, para comenzar debes pulsar la tecla Mayus a la vez que haces click en reiniciar. Seguidamente pulsa en Solucionar problemas, después en Opciones avanzadas y en Configuración de inicio, a continuación tendrás que reiniciar el ordenador.

Una vez que arranque el sistema y aparezca la ventana de Configuración de inicio pulsa en la tecla F5. Para que arranque en modo seguro conecta el pendrive en el que instalaste el antivirus (Norton Power Eraser) y ejecútalo con los permisos que pide del administrador. Acepta las condiciones y acuerdos que pide la licencia del antivirus, después haz click en la opción Analizar en busca de riesgos. Ahora se desplegará un mensaje que pide el reinicio del ordenador, acepta y vuelve a reiniciar en modo seguro con las funciones de red activas.

Una vez realizado esto el antivirus se abre automáticamente debiendo comenzar con el análisis, si no sucede, pulsa nuevamente en la opción “Analizar en busca de riesgos”. Al finalizar el análisis selecciona la opción Reparar ahora, será necesario volver a reiniciar, pero esta vez el reinicio será normal.

Para finalizar debemos estar seguros de que no quede ningún residuo de Cryptolocker en nuestro ordenador, para ello instala Malwarebytes Anti-Malware y analiza nuevamente. Esta aplicación nos asegura que no quede ningún tipo de amenaza oculta, sin importar que sea otro tipo de virus.

Cómo recuperar nuestros archivos encriptados

Windows Vista y Windows 7

Por lo general los usuarios de los sistemas operativos Windows Vista o Windows 7 se benefician de la opción de seleccionar versiones de archivos anteriores. Normalmente cuando Windows instala alguna actualización crea una copia de seguridad oculta de nuestros archivos y a su vez hace un punto de restauración.

Para abrir la copia oculta de los registros es muy sencillo, sólo debemos abrir su ubicación, para ello haz click en el botón derecho del ratón sobre la unidad en la que se encontraban, después pulsa en propiedades y abre la pestaña “Versiones anteriores”. Ahí encontraremos la opción donde está la copia con fecha anterior a la infección de Cryptolocker.

Seguidamente aparecerá una ventana con todos los archivos sin estar encriptados, copia los que necesites, ya sea sólo una parte o todos, moviéndolos a las carpetas donde habitualmente se encuentran. Recuerda que para seguir las instrucciones previstas anteriormente están en la carpeta Usuarios en la parte Nombre de Usuario.

Cuando hayas acabado de copiar todos los archivos deseados, en las carpetas que se hayan restaurado o en el cuadro de búsqueda escribe “.encrypted”, esto nos mostrará los archivos que están encriptados, los cuales podemos eliminar de forma directa.

Cabe destacar que al utilizar las copias que se crean en la instalación de actualizaciones de Windows, tanto en este proceso como el siguiente establecido para Windows 8.1, vamos a perder los archivos y las modificaciones realizadas desde que se haya creado la copia oculta.

Windows 8.1

Es importante saber que a partir de Windows 8 Microsoft ha eliminado el acceso que se tenía a la copia oculta, siendo parte de las características del sistema. En parte aún se mantienen los puntos de restauración de manera que sigue haciendo las copias ocultas de los archivos en el ordenador.

La dificultad que tenemos en este caso es que hay que usar una aplicación para terceros denominada Shadow Explorer. Cryptolocker cambia las extensiones de los documentos a “.encrypted”, por lo que se tiene que eliminar la extensión para poderlos recuperar.

Editar el nombre del archivo suele ser un tanto complicado, usando Microsoft Insider te permite hacerlo más fácil a través de un script que se llama “.bat” que lo hace por ti. Solo debes copiarlo y mandarlo a ejecutar en cada carpeta donde se encuentren los archivos.

Seguidamente abre Shadow Explorer, dirígete a las carpetas donde se encuentran los archivos que hay que restaurar, después pulsa sobre ellos con el botón derecho y haz click en la opción Export.

Elige la carpeta en la que vas a querer restaurar la copia oculta de los archivos, esta puede ser la carpeta original donde se hallaban los archivos con la extensión “.encrypted” o cualquier otra.

Si se elige la carpeta original, preguntará si se quieren sobrescribir los archivos, aceptaremos. Repite este proceso con las carpetas y archivos que quieras recuperar y listo, tu ordenador volverá a la normalidad.