Si bien es cierto que es importante proteger las comunicaciones, en la era digital en la cual nos encontramos, es más importante aún saber cómo desencriptar archivos. En este artículo te enseñaremos cómo hacerlo correctamente.

desencriptar-archivos-1

Desencriptar archivos

Desencriptar un archivo significa desvelar el contenido de un mensaje cuyos datos se encuentran ocultos. Por su parte, el procedimiento que modifica los datos o el texto de un mensaje, hasta el punto de ocultarlos, se llama cifrado.

Para cifrar o encriptar un archivo se requiere el uso de algoritmos matemáticos. De esta forma, sólo conociendo el algoritmo de descifrado se puede recuperar el contenido de dicho archivo. De igual manera, hay que reconocer que casi todos los mensajes que se envían a través de internet son cifrados, esto con la intención de hacer la comunicación más segura.

Sobre este particular, es importante aclarar que algunas veces el algoritmo de cifrado emplea la misma clave tanto para encriptar como para desencriptar. Mientras que en otras oportunidades, ambas son diferentes. Esto trae como consecuencia que existan varias maneras de desencriptar archivos, incluyendo la posibilidad de necesitar desencriptar archivos por virus.

Básicamente, para desencriptar un logaritmo de clave simétrica, es decir, coincidente en ambos procesos (cifrado y descifrado) lo que se debe hacer es probar clave tras clave hasta hallar la correcta. En el caso de algoritmos de clave asimétrica, conformada por una clave pública y otra privada, lo que se requiere es obtener la información secreta compartida entre las dos partes.

En otras palabras, obtener la clave para acceder a la información encriptada mediante un algoritmo de clave asimétrica, significa que la clave privada puede ser derivada de la que ha sido publicada. Para ello es necesario el empleo de complejos cálculos matemáticos.

De cualquier manera, romper un algoritmo de encriptación buscando la clave de forma manual, es lo que se conoce como ataque de fuerza bruta.

Finalmente, hay que decir que el tiempo invertido en descifrar un archivo varía dependiendo de la dificultad de factorización de la clave, es decir, de la longitud de los factores primos empleados durante la encriptación. Además, influye la capacidad de procesamiento del ordenador que se esté usando.

De esta manera, es posible que en algunas oportunidades logremos descifrar un archivo en pocos minutos, y en otros casos el proceso conlleve varias horas e incluso días o meses. En los peores casos no será posible desencriptar los archivos de ninguna manera.

¿Cómo desencriptar archivos por virus?

desencriptar-archivos-2

En la actualidad, existen múltiples aplicaciones malintencionadas capaces de bloquear nuestros documentos mediante la encriptación de los mensajes contenidos en ellos. La principal característica de este tipo de virus, denominado ransonware, es que el hacker o delincuente cibernético solicita el pago de una cantidad de dinero, como  rescate a cambio de la recuperación del contenido secuestrado.

Por otra parte, hay que mencionar que este tipo de ataque informático es uno de los más peligrosos. Por cuanto, para lograr su cometido, el virus ejecuta cifrados de alta complejidad, tanto a los archivos del sistema como a los archivos del usuario. Como el tipo de cifrado empleado varía para cada modalidad de ransonware, existen múltiples variantes de infecciones, lo que dificulta el proceso de recuperación de los archivos.

Si quieres conocer más sobre qué es un ransomware, te invito a leer nuestro artículo sobre los tipos de virus informáticos que pueden dañar tu equipo.

Con seguridad, allí encontrarás información que te será de utilidad para protegerte de cualquier clase de infección por virus. De igual manera, para complementar, puedes leer el artículo sobre normas de seguridad informática.

Precisamente por esa dificultad, algunas personas acceden a pagar el rescate. Sin embargo, no es lo recomendable. Sobre todo porque no existe garantía de que aún pagando el dinero solicitado, los delincuentes informáticos restablezcan la información. Además, pagar sería apoyar y fortalecer este tipo de delito.

Ahora bien, dicho lo anterior, es momento de dar a conocer algunas herramientas que se utilizan para desencriptar archivos por virus.

Desencriptar archivos bloqueados por Locky

Locky es un tipo de virus muy importante y popular. Se transmite mediante correos electrónicos que contienen archivos del tipo .doc y .xls, los cuales son ejecutados por el receptor sin ningún tipo de precaución.

El primer paso es descargar e instalar el programa Emsisoft Decrypter AutoLocky, herramienta de fácil uso, exclusiva para desencriptar documentos bloqueados por Locky. Es decir, con este programa es posible descifrar cualquier documento que posea dicha extensión, devolviéndolo a su estado original.

Así pues, la principal ventaja de este software es que, luego de la recuperación de los documentos, estos pueden ser abiertos desde el programa correspondiente sin haber sufrido algún tipo de pérdida de información.

Una vez descargada la aplicación, y habiendo aceptado los términos de la misma, el siguiente paso es ejecutarla. Para ello, es necesario dar clic en el nombre del archivo decrypt_autolocky.exe.

Al comenzar la instalación, debemos autorizar su ejecución, pulsando sobre la opción Yes.

Automáticamente el programa tratará de obtener la clave de descifrado. Al lograrlo, en pantalla se mostrará un mensaje notificándonos sobre el hallazgo y sugiriéndonos que comencemos a desencriptar sólo un grupo pequeño de archivos. Esto se debe a la posibilidad de que la clave encontrada no sea la correcta.

Posteriormente deberemos leer y aceptar los términos de la licencia. En la siguiente pantalla se podrá comenzar con el descifrado de los archivos bloqueados. Por defecto, el programa inicia la búsqueda de archivos en la unidad C. Para añadir más ubicaciones donde revisar, sólo basta con pulsar sobre la opción Add Folder.

Finalmente, escogemos la opción Decrypter para comenzar a desencriptar los archivos en la lista que aparece en pantalla.

Desencriptar archivos usando programas antivirus

Como ya hemos mencionado existen diversos tipos de ransomware, cuya expansión se ha generalizado en los últimos años. Afortunadamente los fabricantes de programas antivirus se encuentran a la vanguardia, buscando constantemente alternativas con las cuales combatir el impacto de estos programas maliciosos.

Como valor agregado, programas antivirus como Avast y AVG son capaces de desencriptar los archivos cifrados por diversos tipos de ransomware  Sobre este particular, es importante destacar que ambos programas son gratuitos y no presentan limitaciones para la limpieza completa de los archivos.

En lo que respecta a Avast, éste es capaz de desencriptar archivos cifrados por ransomware como: Badblock, Cryp888, SZFLocker, Apocalipsys, Bart, Alcatraz Locker, CriSys, Legion, TeslaCrypt, entre otros.

Por su parte, AVG posee herramientas de descifrado de ransomware como: Badblock, Apocalipsys, Cryp888, Legion, Bart, SZFLocker y TeslaCrypt.

Desencriptar archivos mediante TeslaDecoder

TeslaDecoder es una herramienta que permite descifrar archivos por virus, en específico, archivos encriptados por TeslaCrypt, cuyas terminaciones son: .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc y .vvv.

Una particularidad del virus Teslacrypyt es que el logaritmo matemático que emplea para encriptar archivos es de cifrado simétrico. Además, cada vez que el virus se reinicia se genera una nueva clave simétrica, la cual se almacena en los últimos archivos cifrados. Esto trae como consecuencia que las claves de cifrado no sean las mismas para todos los archivos.

En conocimiento de esta debilidad del virus, los fabricantes optaron por usar un tipo de algoritmo que cifrara las claves y, a la vez, las guardara en cada archivo encriptado. El problema está en que la robustez del algoritmo empleado se basa en la longitud de los números primos que funcionan como base, y ésta no es lo suficientemente larga.

En otras palabras, debido a la longitud de la clave almacenada, es posible utilizar programas especializados para recuperarla, como por ejemplo, TeslaDecoder.

Los pasos que permiten utilizar este programa para desencriptar archivos, son los siguientes:

Primero que debemos hacer es crear una carpeta de trabajo, donde copiaremos un único archivo encriptado. Si la extensión del archivo es .ecc o .ezz, adicionalmente debemos copiar el archivo key.dat o, en su defecto, el archivo Recovery_ key.txt o Recovery_file.text.

Luego debemos descargar el software TeslaDecoder e instalarlo en la carpeta de trabajo recién creada. Una vez tengamos disponible el archivo TeslaViewer.exe, damos clic sobre la opción Browser.

A continuación, seleccionamos el archivo encriptado que copiamos en los pasos anteriores y de inmediato podremos ver las claves de encriptación requeridas. Si se trata de archivos .ecc o .ezz, en vez de seleccionar el archivo encriptado, escogemos el archivo key.dat.

Seguidamente damos clic sobre la opción Create work.txt para crear un archivo de ese tipo, el cual almacenará la información recién obtenida.

Lo siguiente es descomponer en factores primos la clave de descifrado. Para ello se debe emplear el buscador de FactorDB, y seleccionar la opción Factorize! En este punto puede ocurrir que el número esté completamente factorizado o que sólo una parte de él lo esté. En ambos casos, siguiendo las instrucciones que se nos indican en pantalla podremos completar el proceso de factorización.

Estructura-de-datos-3

Al tener el resultado de la factorización, éste deberá copiarse en el archivo work.txt.

Ahora debemos entrar en la carpeta de trabajo y buscamos el archivo TeslaRefactor.exe. Al encontrarlo, proseguimos a ejecutar dicho archivo. Los factores que se encuentran almacenados en work.txt los copiamos en el recuadro que aparece en la pantalla, destinado para colocar los factores decimales.

En esa misma pantalla, pero en la siguiente fila, debemos copiar el valor Public keyBC que también se encuentra en el archivo work.txt.

Al terminar de completar la información que se nos pide en cada uno de los campos, damos clic sobre la opción Find private key. Automáticamente TeslaRefactor reconstruirá el valor de la clave. Por defecto, ésta aparecerá en el campo denominado Private key (hex).

En esta parte del proceso, es importante chequear si el valor de Product (dec) es igual al valor decimal que se encuentra en el archivo work.txt. En otras palabras, debemos verificar el valor de la clave.

Antes de proseguir, debemos copiar el valor de Private key (hex) en el archivo work.txt.

Ahora es necesario ir a la carpeta de trabajo para ejecutar como Administrador el archivo Teslaecoder.exe. Luego de seleccionar la opción Run as Administrator, damos clic en la opción Set key.

En la siguiente ventana, ingresamos el valor de Private key (hex), a la vez que debemos seleccionar las extensiones de nuestros archivos. Para culminar esta parte, damos clic sobre la opción Set key.

Lo siguiente es hacer una prueba de descifrado. Para ello, buscamos el archivo de muestra que copiamos inicialmente en la carpeta de trabajo. La prueba inicia cuando damos clic sobre la opción Decrypt Folder, teniendo seleccionado el archivo en cuestión.

Si el archivo se descifra correctamente, estamos listos para descifrar el resto de los archivos encriptados. Para esto es necesario seleccionar la opción Decrypt All.

Finalmente, si algún archivo no resulta desencriptado significa que poseía otra clave de cifrado. De tal manera que será necesario copiar dicho archivo en la carpeta de trabajo y repetir todo el proceso.

Un caso particular: Desencriptar un archivo PDF

En algunas oportunidades, puede suceder que recibamos un archivo PDF encriptado, del cual poseamos la clave para proceder a descifrarlo. Si este es el caso, el proceso es bastante sencillo.

Lo primero que necesitamos es tener a la disposición un controlador de impresora para PDF y un lector de documentos PDF que no sea Adobe. Foxit Reader funciona bien para nuestro objetivo.

En la ventana correspondiente al controlador, cargamos el archivo en Foxit Reader. El sistema nos pedirá introducir la contraseña compartida.

Luego de chequear que todas las especificaciones de la ventana estén correctamente indicadas, ejecutamos el comando necesario como si fuéramos a imprimir el documento. Es decir, lo mandamos a la impresora PDF.

El resultado de esta acción es una copia del documento original, pero sin encriptación.

Finalmente, vamos a contestar una pregunta que muchas personas pueden llegar a hacerse.

¿Es posible desencriptar archivos online?

La respuesta a esta interrogante es bastante lógica si hablamos de cuestiones de seguridad.

Como ya hemos visto, para desencriptar archivos es necesario que expongamos parte de nuestra información de alguna manera. Entonces, si recurriéramos a servicios online, estaríamos aumentando las posibilidades de que otras personas tengan acceso a ella, pudiendo utilizarla malintencionadamente, modificándola o incluso eliminándola definitivamente.

Así que no existen aplicaciones que nos permitan descifrar vía internet, archivos encriptados por algún tipo de ransomware. De tal manera que la única forma posible de lograrlo es descargando e instalando en nuestro ordenador alguna de los múltiples herramientas disponibles en la red de redes, tal y como lo hemos mencionado a lo largo de este artículo.

La recomendación final es asegurarnos de seguir al pie de la letra las instrucciones de los desarrolladores de este tipo de aplicaciones.