Win32/FileCoder ransomware: ¿puedo recuperar mis archivos "secuestrados"?

Los códigos maliciosos conocidos como ransomware, que “secuestran” archivos del sistema o el sistema completo y piden un rescate a cambio, no son tan masivos como otros gusanos o troyanos. Sin embargo, cuando ocurren causan muchos dolores de cabeza a los usuarios infectados. En este post, vamos a analizar si es posible recuperar los archivos afectados por una de estas amenazas.

Hemos recibido en el Laboratorio de ESET Latinoamérica muchos reportes de incidentes de este tipo de amenaza en América Latina. De hecho, las variantes detectadas por los productos de ESET como Win32/FileCoder han sido las más propagadas en la región. Cuando un sistema se infecta con esta amenaza, archivos con determinadas extensiones (TXT, XLS, DOCX, SQL, entre otros) son comprimidos con una contraseña y se pide así un “rescate” (dinero) al usuario para recuperar sus archivos. En los últimos meses nos han llegado muchas consultas de empresas y usuarios que se han visto infectados y que desean recuperar estos archivos, ¿es esto posible?

La amenaza que utiliza el nombre de “Anti-child Porn Spam Protection 2.0“ es la que más se ha propagado y por la cual emitimos un alerta con consejos hace unas semanas. Entonces, en los casos donde “ya me infecté con esta amenaza” (u otras similares), la pregunta es ¿puedo recuperar mis archivos “secuestrados”? Depende. Esa es la respuesta correcta. Sé que existen muchos sitios web que dicen que sí se puede o que no se puede, pero no hay una respuesta 100% correcta que no sea “depende”. De todas formas, sé que no es la respuesta que esperaban, por lo que permitannos explicarles de qué depende que se puedan (o no) recuperar los archivos y qué puden hacer si ya se infectaron.

¿Por qué depende?

Para comprender por qué no se puede asegurar con un 100% si es posible hay que comprender dos variables: cómo trabajan los antivirus y cómo trabaja la amenaza.

En primer lugar, hay una confusión muy común respecto a la amenaza en si misma. ¿Estamos hablando de un único archivo? No. Para empezar, las amenazas detectadas pueden tener distintas variantes, es decir, versiones de esa misma amenaza (Win32/FileCoder.NAC y Win32/FileCoder.NAG son las más detectadas actualmente). Pero no solo eso: cada firma específica, aún si identificara una versión, es capaz de detectar múltiples archivos. Es decir que bajo detecciones Win32/FileCoder.[variante] puede haber cientos o miles de archivos distintos cuyo funcionamiento tiene muchos factores comunes pero que difieren en otros. Esto es parte de lo que se conoce como firmas genéricas en heurística antivirus. Y aquí entonces radica un aspecto importante respecto a la forma que trabajan los antivirus y en cómo procesan y detectan las muestras. El hecho de indicar el nombre de la detección, no identifica unívocamente a un archivo.

Por otro lado, la amenaza al momento de “secuestrar” los archivos los comprime con contraseña, y dicha contraseña puede ser “elegida” según las distintas variantes de esta amenaza. En algunas variantes de ransomware, las contraseñas son fijas (es decir, pueden encontrarse en el código realizando un proceso de Ingeniería Reversa). En otras, el algoritmo pseudo-aleatorio utilizado es lo suficientemente “débil” que se lo puede someter a algún ataque de fuerza bruta. No obstante, con el pasar de las versiones los atacantes han ido optimizando el algoritmo de forma tal que la generación sea cada vez más aleatoria (tomando, por ejemplo, datos específicos del equipo en cuestión o de un monento en particular, como día y hora del equipo o incluso una ubicación en memoria).

Es por ello que cuando algunos usuarios nos preguntan si hay forma de “recuperar los archivos encriptados por una determinada amenaza”, la respuesta es depende, ya que hay que analizar la infección en particular para ver si el algoritmo que utiliza para generar la contraseña puede o no ser debilitado, es decir, que es posible a través de algún proceso (de fuerza bruta o reversing del algoritmo) obtener la contraseña, y esto puede ocurrir con distintos archivos que sean detectados por el antivirus bajo la misma firma.

Entonces, sigamos…

¿Hay posibilidades de recuperar mis archivos sin pagar la recompensa?

Sí, hay posibilidades, hemos tenido experiencias exitosas con algunas variantes de esta amenaza y se han podido recuperar los archivos. ¿Y entonces, ocurre en todos los casos? No, cada situación es diferente.

¿Cómo puedo saber si es posible recuperar los archivos en mi caso?

No podemos identificar si es o no posible recuperar el archivo solo con el nombre de la firma de la detección, hay que analizar el sistema en cuestión. Vale destacar que las últimas versiones son cada vez más complejas y en esos casos la efectividad de recuperación es notablemente más baja.

Si se han infectado con la amenaza y necesitan asistencia, pueden contactar, si son clientes de ESET, a nuestro servicio de soporte técnico o directamente enviar las muestras o archivos “secuestrados” al Laboratorio de ESET Latinoamérica para poder analizar cada caso en particular.

Recuerden que este post está destinado a aquellos que ya se han infectado con la amenaza Win32/FileCoder. Aquellos que quieran conocer cómo protegerse, ya hemos publicado las buenas prácticas para evitar la infección en un post anterior y esto es aún mucho más importante que solucionar el problema una vez ocurrido.

Sabemos que para los lectores es más reconfortante leer aquellos foros que indican la existencia de herramientas (¿mágicas?) que pueden resolver el 100% de los casos pero, como siempre, tenemos un compromiso con la verdad y la claridad técnica de nuestras comunicaciones hacia la comunidad. Por eso, quienes trabajamos en el Laboratorio de ESET Latinoamérica estamos trabajando hace varias semanas para asistir a empresas que se han infectado y ayudar a nuestros clientes a estar protegidos ante esta amenaza.

Sebastián Bortnik
Gerente de Educación y Servicios

Autor , ESET

  • Pingback: ¿Es posible la recuperación de archivos infectados con un ransomware?()

  • Pingback: Win32/FileCoder ransomware: ¿puedo recuperar mis archivos “secuestrados”? | Reverendo's Blog()

  • Gean Franco

    Buenos días eset latinoamerica mi inquietud es la siguente la nueva versión de los productos eset evitan que un malware ransomware bloquee el equipo cuando este se infecta por el mismo espèro su respuesta

    • Estimado Gean Franco: Todas las soluciones de ESET actualizadas, protegen los equipos contra este y los demás ransomware. Es muy importante recordar mantener actualizada la solución ESET instalada, para prevenir este tipo de infecciones

  • chelo

    Soy usuaria de Eset y tengo archivos encriptados por un virus filedecoder que me gustaria recuperar.Como puedo ponerme en contacto con Eset España?

    • Hola chelo, puedes dirigirte a ayuda@eset.es para contactarte con el equipo de soporte de España.

      ¡Saludos!

  • Mario

    Buen dia, Tengo una licencia de eset antivirus y me gustaria que me ayudaran a recuperar mis archivos en Ecuador. Como puedo ponerme en contacto con Eset???

    • Hola Mario, te contactaremos vía mail con el área de soporte técnico para Ecuador.

      ¡Saludos!

  • Carlos Rubiano

    Buenas Tardes, tengo una PC con todos sus archivos secuestrados, ya pude eliminar el virus pero aun no puedo ver los archivos, tengo una licencia ESET

    • Hola Carlos, estamos derivando tu caso para que el área de soporte técnico pueda ayudarte.

      No dudes en volver a comentar si sigues teniendo inconvenientes.

      ¡Saludos!

  • Alan S. Hernández

    Hola, soy de mexico y trabajo en el area de sistemas de mi empresa, recien este año comenzamos a trabajar con eset en un paquete por volumen. el dia de ayer por la tarde sufrimos una intrucion del virus troyano WIN32Filecoder.CR y desgraciadamente contagio uno de los servidores de datos principales. Eset me notifico que ya habia eliminado el virus sin embargo no puedo acceder a mis archivos y siguen apareciendo archivos HTML y TXT con la informacion para el rescate de mi informacion en cada carpeta del servidor, ya me comunique con mi provedor de Eset pero realmente no me han resuelto nada. Tambien mande un correo a Soporte Tecnico de ESET latinoamerica pero nadie se ha puesto en contacto conmigo. Espero puedan ayudarme. Saludos.

    • Estimado Alan, ante todo disculpas por la demora en la solución. Ya estamos derivando también tu caso para que soporte técnico lo tome y pueda ayudarte tan pronto como sea posible.

      Por favor, haznos saber cómo sigue la situación en las próximas horas.

      ¡Saludos!

  • Daniel Peña

    Hola, la empresa donde trabajo es usuario de Eset y uno de nuestros equipos se infecto con este virus, lo cual no nos deja abrir algunos archivos de años en la empresa, y por ende, muy importantes. Somos de Chile, me gustaría que me ayudaran con el soporte técnico.
    De ante mano, gracias.

    • Hola Daniel, muchas gracias por avisarnos del inconveniente. Ya estamos derivando tu caso para que te contacte sorporte técnico de Chile.

      ¡Saludos! Y ante cualquier otro incidente no dudes en avisarnos por aquí.

  • Jose

    Hola, tengo licencia ESET y se metio este virus y me secuestró archivos de excel, word y jpg y al parecer intentó hacerlo con un archivo de datos pst de Outlook y no puedo acceder a mis archivos, hay alguna solucion? Por correo soporte tecnico me dijo que NO y punto, entonces para que tengo su antivirus? como pudo infiltrarse este virus?

    • Hola Jose, volveremos a derivar tu caso para que te ayude soporte técnico. Te contactarán en cuanto sea posible.

      ¡Saludos!

  • maria

    HE SIDO AFECTADA CON EL VURIS WIN32/ FILECORDER CR TROYANO
    pueden ayudarme??trabajo para una empresa y no puedo abrir los archivos
    , por favor contacten conmigo

    • Hola maria, ¿en qué país te encuentras?
      Así podremos derivarte con alguien para que te ayude.

      ¡Saludos!

Síguenos