Un virus ramsomware es un código malicioso que al ejecutarse ataca algunos archivos de usuario encriptándolos y dejándolos inutilizables. Dicho código generalmente llega a través de archivos adjuntos a mensajes de correo electrónico no deseado (spam) o a través de huecos de seguridad en sistemas desactualizados o con accesos remotos. Los emails suelen indicar que son una orden de compra o el comprobante de una transferencia bancaria, el número de seguimiento de un paquete, etc. La idea es que enviando masivamente ese tipo de mensajes, alguna persona que está esperando una orden de compra, etc. sentirá curiosidad por ver el adjunto y así recibirá el ataque.
Se llaman ransomware porque constituyen una extorsión o pedido de rescate al creador de ese código que en teoría contra recepción de un pago devolverá el software y las llaves necesarias para desencriptar los archivos. Como en cualquier situación de secuestro, las víctimas lidian con delincuentes con comportamientos impredecibles. No se trata de una simple transacción comercial. El fenómeno del ransomware está muy atomizado, por lo que no se puede afirmar que cierto código produce determinado daño y que con el pago del rescate la víctima efectivamente resuelve su problema.
Además, claro, está la dimensión ética: si cada víctima pagase el rescate, le estaría dando a los delincuentes enormes recursos económicos para inversiones en infraestructura y desarrollo que les permitan aumentar y perfeccionar sus delitos. Los pagos de rescates se realizan por medios electrónicos, empleando criptomonedas como el Bitcoin en la expectativa de mantener el anonimato. Sin embargo se ha conseguido atrapar a varias bandas dedicadas a estos delitos.
¿Es posible recuperar datos de un disco atacado por un virus de tipo ransomware?
La gente suele creer que los archivos atacados se convirtieron instantáneamente en datos inaccesibles. En realidad estos códigos maliciosos primero generan una copia de ciertos archivos aplicándoles una encriptación fuerte, que en general no es susceptible de ser quebrada por ataques de fuerza bruta –aunque siempre hay que verificar. En una segunda instancia borran los archivos originales en modo seguro, es decir, tratando de que no sean más recuperables. Ese proceso tiene tiempos de ejecución, consume recursos de RAM y procesador. A veces el usuario al darse cuenta del ataque puede interrumpir el proceso, por ejemplo apagando la computadora y limitando el daño.
Cada código malicioso de esas características tiene sus variantes y además hay que ver cómo actuó sobre una partición en particular, durante cuánto tiempo, etc. De allí que a veces sea factible conseguir recuperaciones de archivos, al menos parciales. Hay que tomarse el trabajo de analizar cada caso en particular si es que los datos revisten importancia. Por lo comentado más arriba, para que el virus actúe es preciso tener capacidad de procesamiento disponible, espacio en RAM y espacio en disco. Por ejemplo si la partición atacada estaba muy llena es posible que el virus pueda hacer menos daño o que la ejecución lleve más tiempo o que se cuelgue el equipo. En todos esos casos el perjuicio sería menos generalizado y en todos caso, la mejor protección siempre es la prevención, disponiendo de sistemas operativos originales y actualizados, métodos de protección por software o hardware, y sobretodo, realizando copias de seguridad periódicas y que siempre hay una que esté desconectada físicamente del sistema informático.
