Win32/FileCoder ransomware: ¿puedo recuperar mis archivos "secuestrados"?

Los códigos maliciosos conocidos como ransomware, que "secuestran" archivos del sistema o el sistema completo y piden un rescate a cambio, no son tan masivos como otros gusanos o troyanos. Sin embargo, cuando ocurren causan muchos dolores de cabeza a los usuarios infectados. En este post, vamos a analizar si es posible recuperar los archivos afectados por una de estas amenazas.

Hemos recibido en el Laboratorio de ESET Latinoamérica muchos reportes de incidentes de este tipo de amenaza en América Latina. De hecho, las variantes detectadas por los productos de ESET como Win32/FileCoder han sido las más propagadas en la región. Cuando un sistema se infecta con esta amenaza, archivos con determinadas extensiones (TXT, XLS, DOCX, SQL, entre otros) son comprimidos con una contraseña y se pide así un "rescate" (dinero) al usuario para recuperar sus archivos. En los últimos meses nos han llegado muchas consultas de empresas y usuarios que se han visto infectados y que desean recuperar estos archivos, ¿es esto posible?

La amenaza que utiliza el nombre de “Anti-child Porn Spam Protection 2.0“ es la que más se ha propagado y por la cual emitimos un alerta con consejos hace unas semanas. Entonces, en los casos donde "ya me infecté con esta amenaza" (u otras similares), la pregunta es ¿puedo recuperar mis archivos "secuestrados"? Depende. Esa es la respuesta correcta. Sé que existen muchos sitios web que dicen que sí se puede o que no se puede, pero no hay una respuesta 100% correcta que no sea "depende". De todas formas, sé que no es la respuesta que esperaban, por lo que permitannos explicarles de qué depende que se puedan (o no) recuperar los archivos y qué puden hacer si ya se infectaron.

¿Por qué depende?

Para comprender por qué no se puede asegurar con un 100% si es posible hay que comprender dos variables: cómo trabajan los antivirus y cómo trabaja la amenaza.

En primer lugar, hay una confusión muy común respecto a la amenaza en si misma. ¿Estamos hablando de un único archivo? No. Para empezar, las amenazas detectadas pueden tener distintas variantes, es decir, versiones de esa misma amenaza (Win32/FileCoder.NAC y Win32/FileCoder.NAG son las más detectadas actualmente). Pero no solo eso: cada firma específica, aún si identificara una versión, es capaz de detectar múltiples archivos. Es decir que bajo detecciones Win32/FileCoder.[variante] puede haber cientos o miles de archivos distintos cuyo funcionamiento tiene muchos factores comunes pero que difieren en otros. Esto es parte de lo que se conoce como firmas genéricas en heurística antivirus. Y aquí entonces radica un aspecto importante respecto a la forma que trabajan los antivirus y en cómo procesan y detectan las muestras. El hecho de indicar el nombre de la detección, no identifica unívocamente a un archivo.

Por otro lado, la amenaza al momento de "secuestrar" los archivos los comprime con contraseña, y dicha contraseña puede ser "elegida" según las distintas variantes de esta amenaza. En algunas variantes de ransomware, las contraseñas son fijas (es decir, pueden encontrarse en el código realizando un proceso de Ingeniería Reversa). En otras, el algoritmo pseudo-aleatorio utilizado es lo suficientemente "débil" que se lo puede someter a algún ataque de fuerza bruta. No obstante, con el pasar de las versiones los atacantes han ido optimizando el algoritmo de forma tal que la generación sea cada vez más aleatoria (tomando, por ejemplo, datos específicos del equipo en cuestión o de un monento en particular, como día y hora del equipo o incluso una ubicación en memoria).

Es por ello que cuando algunos usuarios nos preguntan si hay forma de "recuperar los archivos encriptados por una determinada amenaza", la respuesta es depende, ya que hay que analizar la infección en particular para ver si el algoritmo que utiliza para generar la contraseña puede o no ser debilitado, es decir, que es posible a través de algún proceso (de fuerza bruta o reversing del algoritmo) obtener la contraseña, y esto puede ocurrir con distintos archivos que sean detectados por el antivirus bajo la misma firma.

Entonces, sigamos...

¿Hay posibilidades de recuperar mis archivos sin pagar la recompensa?

Sí, hay posibilidades, hemos tenido experiencias exitosas con algunas variantes de esta amenaza y se han podido recuperar los archivos. ¿Y entonces, ocurre en todos los casos? No, cada situación es diferente.

¿Cómo puedo saber si es posible recuperar los archivos en mi caso?

No podemos identificar si es o no posible recuperar el archivo solo con el nombre de la firma de la detección, hay que analizar el sistema en cuestión. Vale destacar que las últimas versiones son cada vez más complejas y en esos casos la efectividad de recuperación es notablemente más baja.

Si se han infectado con la amenaza y necesitan asistencia, pueden contactar, si son clientes de ESET, a nuestro servicio de soporte técnico o directamente enviar las muestras o archivos "secuestrados" al Laboratorio de ESET Latinoamérica para poder analizar cada caso en particular.

Recuerden que este post está destinado a aquellos que ya se han infectado con la amenaza Win32/FileCoder. Aquellos que quieran conocer cómo protegerse, ya hemos publicado las buenas prácticas para evitar la infección en un post anterior y esto es aún mucho más importante que solucionar el problema una vez ocurrido.

Sabemos que para los lectores es más reconfortante leer aquellos foros que indican la existencia de herramientas (¿mágicas?) que pueden resolver el 100% de los casos pero, como siempre, tenemos un compromiso con la verdad y la claridad técnica de nuestras comunicaciones hacia la comunidad. Por eso, quienes trabajamos en el Laboratorio de ESET Latinoamérica estamos trabajando hace varias semanas para asistir a empresas que se han infectado y ayudar a nuestros clientes a estar protegidos ante esta amenaza.

Sebastián Bortnik
Gerente de Educación y Servicios