Ransomware en RD: cómo recuperar tus archivos sin pagar

Acabaste de despertar al peor lunes

Tu empresa amaneció con cientos de archivos con extensión rara (.locked, .encrypted, .lockbit). Hay un README pidiendo Bitcoin. El servidor de archivos está cifrado. Esta es la situación que todos los CIOs temen.

Antes de pagar — y en muchos casos puedes recuperar sin pagar — sigue esta guía.

Acción inmediata (primera hora)

1. ASILA las máquinas afectadas

Apaga inmediatamente las máquinas infectadas o desconéctalas de la red. El ransomware sigue cifrando mientras puedas.

2. NO REINICIES (todavía)

Algunos ransomware tienen claves en RAM. Reiniciar las pierde. Espera a evaluación profesional si el ataque es activo.

3. AISLA backups

Si tus backups están conectados (cloud, NAS), desconéctalos AHORA. El ransomware busca y cifra backups primero.

4. NO PAGUES (todavía)

Espera evaluación técnica primero. Pagar es la última opción.

Identifica qué ransomware es

Esto determina toda la estrategia.

Servicios gratuitos para identificar:

• NoMoreRansom.org: subes una muestra del README + un archivo cifrado, te dice qué familia es.
• ID Ransomware (id-ransomware.malwarehunterteam.com): igual pero más datos.
• Crypto Sheriff (parte de NoMoreRansom): te dice si hay decryptor disponible.

Familias con decryptors PÚBLICOS gratuitos

Estas tienen decryptors funcionales gratis (parcial o totalmente):

• STOP/Djvu (familia más común). Decryptor de Emsisoft funciona para muchas variantes.
• GandCrab (todas las versiones). Decryptor del FBI/Bitdefender.
• Phobos (variantes específicas).
• Apocalypse.
• Crypt888.
• Jigsaw.
• Maktub (parcial).
• Petya original (no NotPetya).

Si tu ransomware es uno de estos, no pagues. Aplica el decryptor.

Familias SIN decryptor público (típicamente recientes)

• LockBit 3.0 y posteriores
• BlackCat (ALPHV)
• Conti
• REvil/Sodinokibi
• RansomEXX
• Black Basta
• Hive

Para estas, necesitas evaluación profesional caso por caso.

Vías de recuperación SIN pagar

Existen múltiples vías técnicas que un laboratorio profesional puede explorar:

• Decryptors públicos para familias conocidas (STOP/Djvu, GandCrab, etc.)
• Bugs en la implementación del ransomware que permiten recuperación parcial o total
• Claves filtradas cuando autoridades desmantelan grupos de ransomware
• Backups offline que el atacante no encontró
• Archivos no cifrados (algunas variantes solo cifran ciertos tipos/tamaños)
• Copias de seguridad del sistema que pueden contener versiones previas de archivos

Lo importante: no intentes ejecutar estos pasos por tu cuenta. Un laboratorio con experiencia en ransomware puede evaluarlos todos en 24-48 horas sin riesgo de empeorar la situación. Cada operación en las máquinas infectadas puede destruir evidencia valiosa para la recuperación.

Lo que un laboratorio profesional puede hacer

1. Identificar exactamente qué familia y versión de ransomware.
2. Verificar disponibilidad de decryptors o bugs conocidos.
3. Análisis forense del ataque para documentación legal.
4. Recuperación de shadow copies y archivos parcialmente intactos.
5. Si todo lo anterior falla: asesoría sobre negociación segura con el atacante.

Si finalmente decides pagar (último recurso)

• Hazlo con asesoría profesional. Existen empresas especializadas en negociación de ransomware.
• Documenta TODO para reclamación a aseguradora cyber (si tienes).
• No pagues directo desde tu Bitcoin wallet conocida.
• Verifica la confianza del ransomware: hay grupos que cumplen, otros toman el dinero y no envían el decryptor.
• El “decryptor” que envía el atacante puede ser malware adicional. Hazlo en sandbox.

Lo que NUNCA debes hacer

• ❌ Pagar sin evaluación técnica primero.
• ❌ Reinstalar Windows pensando que “limpia” el ransomware en disco. Pierde forensia.
• ❌ Borrar el README del rescate (es la pista para identificar la familia).
• ❌ Conectar backups antes de limpiar la infección.
• ❌ Reportar tarde al regulador (algunos países exigen notificación 72h).

Para empresas en RD

• Reporta a INDOTEL si aplica regulación.
• Considera notificar al Ministerio Público (DICAT — División de Investigación de Crímenes y Delitos Alta Tecnología).
• Notifica a aseguradora cyber si tienes póliza.
• Documenta todo para reclamaciones.

Conclusión

Pagar al atacante debería ser la ÚLTIMA opción, no la primera. En muchos casos hay vías técnicas o legales que no requieren pagar. Una evaluación profesional puede ahorrarte cientos de miles de pesos y refuerza tu posición legal/regulatoria.

+DR Data Recovery hace evaluación de ransomware en 24-48 horas. Si hay decryptor o bug conocido, te lo decimos. Si la única vía es pagar, te asesoramos antes de hacerlo.