En el pasado ya hablamos por aquí del popularmente llamado virus GEMA o virus de la policía, tanto en su versión para Windows como su menos dañina y más fácil de eliminar versión para Mac.Entre otras cosas también hablamos de cómo desencriptar los archivos que este virus encriptaba. El problema viene con que este ransomware es bastante cabrón y utiliza una encriptación extremadamente fuerte, ni con Panda ni con el Rahno Decryptor… nada, he probado mucho software pero no hay manera. Hay gente que dice que pagaron y les enviaron el programa para desencriptar, pero yo no estaría muy seguro, por mi parte no lo haría. Hay quien dice que ha logrado desencriptar los archivos OMG con el programa MBLBlock pero yo no he sido capaz de recuperar los ficheros. En todo caso, o dejo un enlace a un tutorial sobre como usarlo por si queréis probar.Eso sí, no os lancéis a ello antes de desinfectar el equipo. Esta nueva encarnación del malware suele aparecer como Anti-child Porn Spam Protection.

Tras la decepción de las, hasta el momento, pocas posibilidades de recuperación vamos con la desinfección y la protección:

En el primer caso el tutorial sobre MBLBlock da una serie de pautas, podéis seguirlas, si bien yo lo hice de otra forma. En mi caso simplemente arranqué en modo seguro con funciones de red, instalé y ejecuté un análisis a fondo con Malwarebytes y la cosa funcionó. Finiquité limpiando el registro con CCleaner.

Una vez desinfectado vamos con los consejos de protección. Consejos que si todavía no habéis sido atacados también deberíais tener en cuenta.

• Los principales antivirus detectan este ransomware. El problema es que la infección suele llegar a través de un ataque que permite a quien lo realiza conectarse al servidor y desconectar el antivirus. La protección residente entonces se torna inútil, por lo que tendrás que llevar a cabo unas políticas de seguridad más activas.
• Comentado esto una primera opción es, desde luego, poner una contraseña fuerte para dificultar los ataques por fuerza bruta, una contraseña larga (más de 12 caracteres) que combine letras mayúsculas, minúsculas, símbolos y números y que no utilice nombres, palabras que estén en un diccionario (sobre todo palabras inglesas) o fechas.
• Tener el sistema actualizado desde luego es básico: instalad las actualizaciones de seguridad pertinentes tanto de Windows como del software que uséis. Los parches MS13-029 o MS13-030 son necesarios para hacerla todavía más robusta.
• Cambiando el puerto de escucha de Terminal Server conseguiréis dificultar el ataque. Los atacantes suelen probar a lanzar una petición al puerto 3389 (que es el puerto por defecto de Terminal Server) para continuar con un ataque por fuerza bruta para romper la contraseña, pero si no reciben respuesta de ese puerto es poco probable que sigan intentándolo. Así que cambiando el puerto por defecto se consigue una protección extra. En este artículo de la web de Microsoft veréis cómo hacerlo
• En vista de que las posibilidades de recuperar los datos son, por el momento, bajas una política activa de backups, almacenados en otra ubicación, permitirá al menos restaurar parte de los archivos que podáis perder por el ataque
• Todo esto no garantiza nada ya que la seguridad total y perfecta es una quimera, pero dificultará el ataque. La idea de los atacantes es la de extorsionarte así que si ven que les va a dar mucho trabajo lo más probable es que te dejen y se busquen una presa más fácil, porque no les resultará rentable.

En fin, si no os han atacado todavía comenzad con una política activa de defensa. Si ya lo han hecho, desinfectad y ponéos las pilas para que no vuelvan a cazaros. Si sabéis de alguna herramienta fiable para desencriptar los archivos estaré muy agradecido de que lo pongáis en los comentarios, a ver si en un tiempo aparece algo para solucionarlo, porque ya hace unos meses que se vienen sufriendo estos ataques, según he podido comprobar en San Google.