Cómo recuperar los archivos cifrados por un ransomware restaurando las copias Shadow

Escrito por Rubén Velasco
Seguridad
0

El ransomware es el tipo de malware más peligroso y temido de los últimos tiempos. Los piratas informáticos detrás de cada amenaza buscan amasar la mayor cantidad de dinero posible atacante directamente a lo más valioso para las personas de hoy en día: sus archivos. Antes que ceder al chantaje y pagar el correspondiente rescate por los datos (que además corremos el riesgo de perder también el dinero), los expertos de seguridad suelen encontrar fallos en estas aplicaciones maliciosas que permiten la recuperación de los datos de forma gratuita y, además, dependiendo de la amenaza que nos haya afectado, es posible incluso que no tengamos que utilizar ninguna herramienta, sino que gracias a Windows y a la propia estructura interna del formato de archivos NTFS podamos recuperarlos.

Si cuando el malware infectó nuestro equipo teníamos activada la restauración del sistema, Windows, gracias a la estructura de datos del sistema de archivos NTFS, crea lo que se llaman copias shadow, o copias diferenciales que nos permiten recuperar las versiones originales de todos los archivos que se han visto afectados por el malware. Este sistema no es el más eficaz para recuperar los archivos, no funciona siempre y, en determinados archivos (generalmente documentos con varias ediciones) cabe la posibilidad de que el fichero recuperado no sea el más reciente, sin embargo, al menos sí que podremos recuperar fácilmente los archivos haciendo uso de esta técnica.

Para recuperar la copia Shadow de los archivos podemos utilizar una sencilla aplicación llamada ShadowExplorer o utilizar la herramienta incluida en los sistemas Windows para este fin. En nuestro caso vamos a ver cómo hacerlo de esta segunda forma.

Cómo recuperar un archivo cifrado por un ransomware

Para ello, debemos seleccionar los archivos que queremos recuperar, uno a uno, y abrir el menú de propiedades con el botón derecho. En la ventana que nos aparece podremos ver una pestaña llamada “Versiones anteriores“.

Copias Shadow Ransomware - Versiones anteriores de archivo en Windows 10

Si nuestro sistema ha guardado una copia Shadow de dicho archivo nos aparecerá en la lista. Ahora, lo único que debemos hacer es seleccionar una versión de las que nos aparecen, con su correspondiente fecha y hora de edición, y pulsar sobre el botón “Abrir” para tener una vista previa del archivo en cuestión y, a continuación, sobre “Restaurar” para recuperar dicho archivo.

Si lo que queremos es recuperar una carpeta entera también podemos utilizar este truco, evitando así tener que restaurar los archivos uno a uno. Si tenemos instalado en el sistema algún cliente de almacenamiento en la nube, por ejemplo, Dropbox, también debemos buscar en dicho cliente el historial de versiones para restaurar el archivo a una versión anterior, antes de que haya sido cifrado por el ransomware.

Recordamos que este método solo funciona en sistemas Windows a partir de XP Service Pack 2 y que utilicen un sistema de archivos NTFS. Además, no funcionará el 100% de las veces ya que algunas variantes de ransomware, especialmente las más recientes, se aseguran de eliminar las copias Shadow del sistema de archivos NTFS para evitar poder aprovechar este truco.

¿Alguna vez has utiliza las copias Shadow para recuperar una versión anterior de un archivo?

Quizá te interese:


Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10