Recuperación de datos · Ransomware / cifrado

Recuperación de datos tras ataque de ransomware

Si has caído en ransomware, el tiempo es crítico. Identificamos la variante (LockBit, BlackCat/ALPHV, Conti, Phobos, Ryuk, STOP/Djvu, Makop, y decenas más), analizamos si hay descifrador público disponible, y en paralelo recuperamos lo posible desde copias, snapshots, shadow copies y ficheros de intercambio.

Pedir presupuesto Llamar ahora

Desde 400€ + IVA · Sin datos, no pagas · 6 meses de garantía

Qué hacer las primeras 2 horas tras descubrir el ataque

1. Aislamiento: desconecta los equipos afectados de la red (cable físico fuera o WiFi apagado). El ransomware se propaga por SMB y puede seguir cifrando vecinos.

2. No apagues todavía. A veces la clave de cifrado queda en RAM y se puede capturar con memoria volátil. Apagar la borra.

3. NO pagues el rescate. Los atacantes a menudo no entregan descifrador o entregan uno defectuoso. Además, pagar financia más ataques futuros y te convierte en objetivo reincidente.

4. Llama a un profesional. Nosotros o equivalente. No toques los ficheros cifrados (no renombres, no copies a USB, no ejecutes nada).

5. Notifica a la AEPD si hay datos personales afectados (72 h desde conocimiento).

Nuestro proceso forense

Análisis de muestra cifrada para identificar la variante exacta (hay herramientas como ID Ransomware que cruzan firmas). Una vez identificada, comprobamos si:

• Existe descifrador público (Europol NoMoreRansom mantiene un repositorio de descifradores para variantes derrotadas).

• La variante tiene fallos implementación (clave estática, generador débil, claves compartidas entre víctimas) que permiten descifrado.

• Hay Shadow Copies intactas que el ransomware no haya borrado (algunos las borran con vssadmin, otros no).

• Hay backups externos o snapshots de NAS que no se hayan visto afectados.

• El sistema de archivos conserva restos recuperables de las versiones anteriores.

Variantes derrotadas frente a activas

Derrotadas (descifrador disponible): GandCrab (hasta v5.1), Shade, Jigsaw, Crysis/Dharma en variantes antiguas, STOP/Djvu parcialmente, Egregor, Avaddon, Maze.

Activas y fuertes: LockBit 3.0, BlackCat/ALPHV, Clop, Royal, Akira. Estas normalmente requieren recuperación desde backup o aceptar pérdida.

Servicios

Qué ofrecemos en Ransomware / cifrado

▸ Identificación de variante en minutos

▸ Búsqueda en repositorios de descifradores públicos

▸ Recuperación desde Shadow Copies y snapshots

▸ Recuperación desde backups externos

▸ Análisis forense del vector de entrada

▸ Informe para AEPD / notificación a afectados

▸ Plan de endurecimiento post-incidente

▸ Disponibilidad 24/7 para casos críticos

Preguntas frecuentes

Sobre la reparación de Ransomware / cifrado

¿Cuánto tardáis?

Análisis inicial en 4-8 h. Si existe descifrador: 1-3 días. Si hay que recuperar desde backup o Shadow Copies: 3-7 días.

¿Cuánto cuesta?

Desde 399€ para análisis e identificación. Recuperación completa según variante y volumen, típicamente 800-2.500€.

¿Podéis negociar con los atacantes?

No lo hacemos por principio. Además, en España pagar rescate puede implicar financiación de organización criminal.

¿Qué hago para que no vuelva a pasar?

Auditoría post-incidente + plan de endurecimiento: MFA universal, EDR, backup inmutable, formación antiphishing, segmentación de red. Lo vemos todo juntos.

Averías típicas de Ransomware / cifrado