En el presente documento, se pretende dar una explicación general sobre el
malware denominado como “Ransomware”, sus características de ataque y
prevención. De igual manera se realizará una recopilación de varios software
destinados para la recuperación de datos, aspecto clave cuando se comenten
errores o fallos del sistema y se borran accidentalmente los archivos. De hecho estas herramientas pueden ser de utilidad en ciertos estudios sobre informática forence.
1. RANSOMWARE Y SISTEMAS DE RECUPERACIÓN DE DATOS
Ms. Ing. Jairo E. Márquez D.
Resumen
En el presente documento, se pretende dar una explicación general sobre el
malware denominado como “Ransomware”, sus características de ataque y
prevención. De igual manera se realizará una recopilación de varios software
destinados para la recuperación de datos, aspecto clave cuando se comenten
errores o fallos del sistema y se borran accidentalmente los archivos. De hecho
estas herramientas pueden ser de utilidad en ciertos estudios sobre informática
forence.
Ransomware
El Ransomware comprende un tipo de software malicioso que restringe el acceso
al sistema informático que infecta, y exige un rescate para que sea eliminado.
Algunas formas de ransomware consiste en cifrar archivos en el disco duro del
sistema (extorsión cryptoviral), mientras que algunos pueden bloquear el
sistema y mostrar mensajes destinados a convencer al usuario para que pague.1
1
Ransomware. Consultado el 14 de octubre de 2013. http://en.wikipedia.org/wiki/Ransomware_(malware)
2. Aunque en un principio popular en Rusia, el uso de las estafas ransomware ha
crecido a nivel internacional;2
en junio de 2013, el software de seguridad
proveedor McAfee publicó datos que muestran que había recogido más de
250.000 muestras únicas de ransomware en el primer trimestre de 2013-más del
doble el número si se había obtenido en el primer trimestre de 2012.3
Ejemplo sobre un randomware.
Un Ransomware se puede propagar como un gusano informático a través de un
archivo común al ser descargado de la red. Cuando se ejecuta, este malweare se
instala en el sistema operativo secuestrando toda la información guardada en el
disco duro.
Los ransomware más sofisticados son híbridos, capaces de cifrar información en
texto plano con claves aleatorias simétricas y una clave fija pública, donde el
delincuente es el único que conoce la clave privada de descifrado.
Algunas cargas ransomware no utilizan cifrado. En estos casos, la carga es más
que una aplicación diseñada para restringir efectivamente la interacción con el
2
Dunn, John E. "troyanos Ransom se extienden más allá del corazón de Rusia" . TechWorld . Consultado el
10 de marzo 2012. http://news.techworld.com/security/3343528/ransom-trojans-spreading-beyond-
russian-heartland/
"Nueva estafa de Internet: ransomware ..." . FBI. 09 de agosto 2012.
http://www.fbi.gov/news/stories/2012/august/new-internet-scam/new-internet-scam
"Malware Citadel continúa ofreciendo REVETON ransomware ..." . Internet Crime Complaint Center (IC3). 30
de noviembre 2012. http://www.ic3.gov/media/2012/121130.aspx
3
Update: McAfee: Cyber criminals using Android malware and ransomware the most. Internet Crime
Complaint Center (IC3). Nov. 30, 2012. http://www.infoworld.com/t/security/mcafee-cyber-criminals-using-
android-malware-and-ransomware-the-most-219916
3. sistema, por lo general al reemplazar explorer.exe en el registro de Windows de
forma predeterminada en la shell,4
o incluso modificar el registro maestro de
arranque y/o la tabla de particiones, con lo cual no permite que el sistema
operativo se inicie en absoluto hasta que sea reparado.5
Reveton es uno de los ransomware más utilizados y extendidos. Es una de las
herramientas más completas y recientemente se ha actualizado para cambiar su
método de aviso exigiendo al usuario que compre un falso antivirus
llamado Live Security Professional.
Tal como se puede leer en Thread Track Security (consultar
http://www.threattracksecurity.com/it-blog/reveton-malware-replaces-locked-
desktops-with-fake-av/), Live Security Professional se encargará de analizar,
supuestamente, el equipo de la víctima que lo instale y devolverá unos resultados
en los que se indica que el sistema tiene un alto número de virus, troyanos y
malware. Para desinfectarlo, el falso antivirus, también llamado scareware, pide
que el usuario realice otro pago. Pese a la estafa del antivirus, el sistema estará
expuesto a ataques y robo de datos mientras la herramienta esté instalada en el
sistema.
Para hacer que los usuarios instalen el falso antivirus, este ransomware bloquea
completamente el escritorio del sistema operativo de la víctima hasta que se
instala. Luego, el falso antivirus, se desbloquea y comienza a funcionar
solicitando al usuario comprar una licencia del mismo para desinfectar los falsos
positivos que muestra durante un supuesto análisis.
Los ransomware son, actualmente, los malwares que más peligro pueden suponer
al sistema operativo. Cada vez son más complejos y están mejor pensados por
4
"Ransomware: Fake Federal German Police (BKA) notice". SecureList (Kaspersky Lab). Retrieved 10 March
2012. http://www.securelist.com/en/blog/6155/Ransomware_Fake_Federal_German_Police_BKA_notice
5
"And Now, an MBR Ransomware". SecureList (Kaspersky Lab). Retrieved 10 March 2012.
http://www.securelist.com/en/blog/208188032/And_Now_an_MBR_Ransomware
4. los piratas informáticos para conseguir engañar a los usuarios para que paguen un
precio por “desinfectarse”.
¿Es posible la recuperación de archivos infectados con un ransomware?6
Desde los laboratorios de Eset han realizado un análisis sobre este tipo de
malware, en concreto sobre el llamado Win32/FileCoder. El funcionamiento de
este ransomware es sencillo. Una vez se infecta el sistema se busca dentro de él
todos los archivos de texto, bases de datos e imágenes (entre otros) y los
comprime protegidos por una contraseña. Cuando el usuario paga el “rescate” por
los archivos, el ransomware descomprime estos y se elimina del sistema, hasta
una nueva infección.
El ransomware mencionado anteriormente se suele distribuir escondido en una
aplicación llamada “Anti-child Porn Spam Protection 2.0“. Aparentemente es un
software que protege a los más menores de visitar páginas web no apropiadas,
pero en realidad lo que esconde es FileCoder que cifrará los datos que detecte en
el sistema víctima.
6
Velasco Rubén. ¿Es posible la recuperación de archivos infectados con un ransomware? Consultado el 14
de octubre de 2013. http://www.redeszone.net/2013/07/19/es-posible-la-recuperacion-de-archivos-
infectados-con-un-ransomware/
5. Según Eset, hay cientos de variables de este ransomware. Dependiendo de la
variable que logre infectar el sistema y cifrar sus datos, los datos pueden ser
recuperables de forma gratuita o no. La compañía de seguridad detectó en
algunas variantes que la contraseña de cifrado es única y fija, y se pueden obtener
mediante ingeniería inversa fácilmente. Por otro lado, en otras variantes el código
es prácticamente aleatorio, por lo que su recuperación llega a ser prácticamente
imposible.
La compañía Antivirus pone a disposición de los usuarios suscritos su servicio
técnico desde el que se ofrecen a ayudar en lo máximo posible a la recuperación
de los archivos que hayan sido cifrados, aunque ya advierten que no es segura al
100% la recuperación.
Se recomienda tener cuidado a la hora de bajar archivos de internet. Se debe
tener un sistema antivirus instalado y actualizado que analice el equipo para evitar
ser infectado en caso de descargar un archivo que contenga malware. También es
importante realizar copias de seguridad periódicamente, ya sea en un dispositivo
físico o en la nube, pero la copia de seguridad permitirá recuperar nuestros datos
tras una infección.
6. Cómo desinfectar un equipo infectado con Criptolocker7
Uno de los tipos de virus que más peligro tienen de estos tiempos son los
ransomware. Este tipo de malware llega a los ordenadores a través de páginas
web infectadas o a través de spam y, al ejecutarse en el sistema, cifra de forma
automática todos los datos del disco duro obligando al usuario a pagar por el
descifrado de estos. Al ser los datos del usuario lo más importante para este, la
mayor parte de ellos paga por recuperar los datos, convirtiendo este tipo de
malware en un completo negocio.
Aunque Cryptolocker en sus inicios no disponía de cuenta atrás y únicamente pedían un pago de
100 dólares, las últimas variantes detectadas le han hecho más viral y peligroso ya que ahora sí
muestra una cuenta atrás para eliminar los archivos y el pago que pide ha aumentado a 300
dólares. La llave de descifrado se encuentra en un servidor secreto en la red, por lo que las
compañías antivirus aún no han conseguido descifrar con éxito este malware.
Este nuevo ransomware ha sido detectado por la red que está llegando a los
sistemas e infectándolos a través de las redes sociales. Este nuevo ransomware
se llama Criptolocker y se encarga, igual que otros ransomware, de cifrar los
7
Ibídem.
7. datos del disco duro para, posteriormente, pedir un pago económico por la clave
de descifrado.
Dependiendo de la complejidad del ransomware puede ser más fácil o más difícil
de eliminar. En el caso de Criptolocker el método a seguir es bastante sencillo, por
lo que los usuarios que se vean infectados por este malware no tendrán que pagar
dinero para liberar su equipo.
Método 1 para desinfectar un equipo infectado con Criptolocker
En primer lugar se arranca el computador en modo a prueba de fallos con
funciones de red. En los sistemas operativos hasta Windows 7 esto se hace
pulsando la tecla F8 en el corto período del arranque que existe entre el POST y la
carga de Windows. Aparecerá una ventana desde la que se elige el método de
arranque.
Una vez inicie el sistema se intenta una restauración a un estado anterior. En caso
de que el sistema se restaure correctamente, el sistema quedará limpio y se podrá
acceder de nuevo a los datos.
Existe la posibilidad que el usuario no pueda restaurar el sistema a un estado
anterior, por ejemplo, porque no tenga esta función habilitada en el sistema o que,
tras la restauración, el sistema siga infectado. De ser así, podemos probar con el
método 2.
8. Método 2 para desinfectar un equipo infectado con Criptolocker
En primer lugar se identifica el sistema operativo para poder descargar la versión
adecuada. Para ello, click con el botón derecho sobre “Mi PC” o “Equipo” y
seleccionaremos “propiedades” para ver una ventana de resumen.
Una vez identificado el sistema se descarga y ejecuta, de una en una, las
siguientes herramientas de eliminación de malware:
ESET Rogue Application Remover:
http://kb.eset.com/esetkb/index?page=content&id=SOLN2372&viewlocale=
es_ES
Microsoft Malicious Software Removal Tool: http://www.microsoft.com/es-
es/download/malicious-software-removal-tool-details.aspx
Una vez eliminado el malware, es posible que algunos archivos queden cifrados.
Para descifrarlos se ejecuta el siguiente programa:
Panda Ransomware Decrypt:
http://www.pandasecurity.com/resources/tools/pandaunransom.exe
Con estos pasos se elimina el malware Criptolocker fácilmente y recuperar el
acceso a nuestros datos sin tener que pagar por ellos.
9. Fuente: Inteco
(http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/cript
olocker_virus_cifra_ficheros_ordenador_20130924?origen=boletin)
Método 3.
Si queremos evitar que se infecte el equipo con un ransomware, es necesario
instalar una solución de seguridad informática que identifique las vulnerabilidades
y utilice un sistema de detección de exploits de alto nivel. Si ya el sistema está
infectado, los especialistas de Kaspersky Lab han diseñado una herramienta
llamada Kaspersky WindowsUnlocker
(http://support.kaspersky.com/8005?el=88446). Se puede lanzar esta función
cuando se inicia el ordenador desde el disco de rescate de Kaspersky Lab.
Recopilación de software para recuperación de datos8
Puede ocurrir que lo que falle y se borre es la tabla de particiones sin necesidad
de que se hayan borrado los datos del disco duro. Si se crea manualmente otra
partición todos los datos serán borrados del disco para que la nueva partición esté
vacía. En caso que nuestro problema sea el borrado de la tabla de particiones
podemos recuperarla de forma sencilla con TestDisk. TestDisk es una aplicación
gratuita que, aunque es algo complicada de usar (hay que conocer varios datos
del disco) funciona de forma excelente.
TestDisk:9
Descargar TestDisk según su sistema operativo.
TestDisk permite recuperar las siguientes tablas de particiones:
Apple partition map
GUID
MBR
Solaris
Xbox
Tiene soporte para cualquier sistema de ficheros actual de los distintos sistemas
operativos. También TestDisk es multiplataforma, por lo que podremos ejecutarlo
desde cualquier tipo de sistema operativo. De igual manera, dispone de
distribuciones Linux como Parted Magic que ya incluyen dicha aplicación en caso
de que no sea imposible iniciar sesión.
8
Velazco Rube. Recopilación de software de recuperación de datos. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/2013/06/05/recopilacion-de-software-de-recuperacion-de-datos/
9
Fuente de consulta. http://www.redeszone.net/windows/como-recuperar-particiones-eliminadas-o-
borradas-con-testdisk/
10. Utilizar TestDisk10
En primer lugar vamos a utilizar un sistema Windows 7 con 2 discos duros: uno
del sistema y el otro secundario formateado como NTFS pero en el que hemos
eliminado la partición y le hemos dejado sin tabla de particiones por error.
Una vez descargada la aplicación se ejecuta apareciendo una ventana
de símbolo de sistema donde preguntará si queremos crear un nuevo archivo de
Log, abrir uno existente o comenzar sin utilizar archivo de Log.
Seleccionamos “Create” para crear un nuevo archivo de Log para recuperar la
partición.
10
Cómo recuperar particiones eliminadas o borradas con TestDisk. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/como-recuperar-particiones-eliminadas-o-borradas-con-testdisk/
11. A continuación aparecerán los discos duros que detecte el sistema. Seleccione el
disco duro el cual contiene la partición eliminada y que se quiere recuperar. En
nuestro caso, SDA es el disco duro primario que contiene el sistema operativo y
SDB el disco que queremos recuperar. Seleccionamos el disco y pulsamos enter
para seleccionar la opción “preceed” para comenzar a explorar.
En la siguiente pantalla preguntará por el tipo de tabla de particiones que tiene el
disco. Lo más normal es seleccionar una tabla Intel PC a no ser que utilice otras
plataformas como Mac. En nuestro caso seleccionamos Intel PC y pulsamos enter
para continuar.
12. A continuación aparece una lista con las diferentes opciones de recuperación:
Analyse: Analizar la estructura para recuperar una tabla de particiones.
Advanced: Opciones avanzadas de recuperación.
Geometry: Permite cambiar la geometría del disco.
Options: Opciones de recuperación.
MBR code: Reescribe la tabla de particiones al principio del disco.
Delete: elimina todo lo relacionado con la tabla de particiones del disco.
Seleccionar la primera opción “Analyse” para que el programa realice una
exploración del disco en busca de la antigua tabla de particiones para poder
recuperarla.
13. A continuación preguntará que tipo de búsqueda queremos hacer. En primer lugar
se podrá realizar una búsqueda rápida, por lo que se pulsa enter con la opción
“quick search” seleccionada.
Tras unos segundos aparecerá el resultado de la búsqueda. En nuestro caso ha
encontrado la tabla de particiones a la primera.
Pulsamos enter y TestDisk se encargará de reescribir la tabla de particiones.
Volvemos a la ventana de selección de modo de búsqueda. Esta vez aparecerán
diferentes opciones: “Deeper Search” para realizar una búsqueda más profunda
en todos los sectores del disco. Si en la ventana anterior no ha aparecido ninguna
tabla de particiones a recuperar (la seleccionada en verde) debemos seleccionar
este método para realizar una búsqueda más agresiva. Si ha aparecido tabla de
14. particiones a recuperar seleccionar la otra opción “Write” para terminar de escribir
la tabla de particiones en nuestro disco.
Confirmamos la escritura de la tabla de particiones pulsando “Y”
El programa escribirá la tabla de particiones y pedirá que reiniciemos el equipo
para que los cambios surtan efecto. Reiniciamos y al volver a arrancar el equipo
ya tendremos el disco duro reparado con las particiones y los archivos que
teníamos antes de cometer el error o fallo.
15. Recuperar archivos en Windows
Uno de los principales casos de eliminación de datos es el borrado accidental
(vaciar papelera sin comprobar) o la corrupción de datos por un virus. En estos
casos al estar perfectamente la partición los métodos anteriores no sirven por lo
que tendremos que comenzar a usar programas de recuperación de datos.
Recover My Files:11
11
Cómo recuperar datos eliminados con Recover My Files. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/como-recuperar-datos-eliminados-con-recover-my-files/
16. Recover My Files es uno de los programas de recuperación de datos que mejor
resultado devuelven a la hora de recuperar archivos eliminados. Con su última
actualización la interfaz ha quedado muy intuitiva y sencilla de utilizar por lo que
cualquiera podría probar a recuperar los datos sin tener que pagar por ello.
Es un programa de pago pero no tiene un precio excesivo, aunque es una
herramienta bastante completa.
Este programa sólo está disponible para el sistema operativo Windows.
Una vez finalizada la instalación se ejecuta.
Lo primero que aparecerá es un asistente. En dicho asistente se elige si queremos
recuperar archivos eliminados accidentalmente (recover files) o de lo contrario
recuperar todos los archivos de una partición dañada o formateada (recover a
drive). En nuestro caso vamos a seleccionar “recover files” y hacemos click sobre
“next” para continuar. A continuación seleccionaremos el disco de donde vamos a
recuperar el archivo.
17. Pulsar “next” y elegir el modo de búsqueda que queremos hacer. Podemos
seleccionar una búsqueda de archivos eliminados simple (más rápida) o hacer una
exploración más profunda buscando en toda la estructura de la carpeta “lost files”.
Seleccionaremos una búsqueda rápida de archivos eliminados.
Recover My Files comenzará a buscar archivos eliminados en el disco duro. Tras
unos instantes (dependiendo del tamaño del disco) nos aparecerá un árbol de
directorio con todos los archivos encontrados ordenador por carpetas.
18. A continuación debemos situarnos sobre el directorio dónde estaban en un
principio nuestros datos y ver si efectivamente hemos podido recuperar nuestros
datos.
En nuestro caso, el archivo que hemos recuperado era un archivo de texto creado
para la causa y que habíamos guardado en la carpeta personal del usuario.
Efectivamente lo tenemos allí. Para recuperar el archivo y volver a copiarlo al
disco duro, debemos marcar la casilla correspondiente al archivo y pulsar sobre
“save”. El programa nos guardará el archivo en nuestro disco duro.
19. Con estos pasos ya tendremos recuperados los archivos eliminados. En caso que
el programa no los detecte, podemos hacer una búsqueda más profunda
seleccionando en el asistente de búsqueda que el programa busque archivos en la
carpeta Lost Files. De igual manera podemos buscar los archivos eliminados por
el formateo de una partición seleccionando dicha opción en la primera ventana del
asistente.
Recover My Files es una herramienta excelente para la recuperación de datos,
pero hay que pagar por ella, y no es precisamente barata (como la mayoría de las
herramientas de este tipo).
GetDataBack:12
Es una herramienta utilizada para recuperar archivos debido a su buen
funcionamiento. La herramienta es algo cara y vende dos versiones por separado
ya sea un disco FAT o NTFS teniendo que pagar por uno u otro.
Podemos descargar una versión de prueba o comprar una licencia desde la web
principal de GetDataBack. GetDataBack es solo compatible con Windows aunque
Runtime Software dispone de herramientas avanzadas de análisis de discos para
otras plataformas como Linux.
Descargamos GetDataBack (NTFS en nuestro caso) y lo instalamos en nuestro
sistema como un programa normal para el sistema operativo.
12
GetDataBack: Recupera tus archivos eliminados. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/getdataback-recupera-tus-archivos-eliminados/
20. Una vez finalizada la instalación ejecutamos la aplicación y veremos la ventana
principal del programa.
21. Podemos ver que nos aparecen varias opciones de recuperación para seleccionar:
I don’t know: permite realizar un escaneo con la configuración básica.
Quick Scan: realizará una búsqueda rápida de archivos recién eliminados.
Systematic system file damaged: busca archivos perdidos por un formateo
Sustained system file damaged: busca archivos perdidos por una
reinstalación del sistema operativo
Recover deleted files: permite recuperar archivos eliminados de la papelera.
En nuestro caso vamos a realizar la búsqueda con las opciones por defecto.
Pulsamos sobre “next” para continuar.
En la siguiente ventana podremos ver los discos duros que tenemos en nuestro
sistema. En caso de disponer de varias particiones en los discos podemos
seleccionar si queremos buscar en un disco completo o solo en una determinada
partición.
22. Seleccionamos el disco desde el que queremos recuperar y pulsamos sobre
“next”. Luego se selecciona el sistema de archivos desde el que queremos
recuperar. Para tener mayores probabilidades de recuperar seleccionaremos el
que mayor número de sectores y capacidad tiene.
23. Pulsamos “next” y el programa realizará una búsqueda de archivos en los sectores
del disco. Tras un rato nos mostrará en una pantalla los resultados con los
archivos que pueden ser recuperados y los que no.
Bastará con seleccionar los datos que queremos recuperar y pulsar sobre el botón
“Save” de la parte superior para guardar los archivos recuperados. Todo el
proceso puede ser realizado con la versión de prueba excepto guardar los
archivos por lo que podemos utilizar GetDataBack y probar si nos permitiría
recuperar el archivo antes de comprar una licencia.
EasyRecovery Pro 10:13
Otra alternativa que ofrece buen resultado es EasyRecovery Pro 10. Ofrece un
buen rendimiento y calidad de recuperación. Su precio es algo superior al anterior
pero servirá en caso de que otro programa no recupere los archivos.
La versión de prueba está limitada a 30 días de uso y permite la recuperación de
un solo archivo.
13
EasyRecovery Pro 10: Manual para recuperar datos eliminados. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/easyrecovery-pro-10-manual-para-recuperar-datos-eliminados/
24. La licencia Home durante 1 año cuesta 79 dólares, la versión profesional 149
dólares y la versión de empresa 499 dólares.
Se puede comprar una licencia anual de EasyRecovery desde la web.
Una vez descargado el archivo desde su página principal lo instalamos en nuestro
sistema operativo como un programa normal.
Una vez instalado el programa lo ejecutamos. En primer lugar nos pedirá la
activación a través de internet. Hacemos click sobre “ejecutar la demo” para poder
probar el programa antes de adquirirlo.
25. A continuación se observa la pantalla principal del programa.
Para comenzar a buscar los archivos debemos hacer click sobre el botón
“continuar” de la parte inferior derecha. El programa nos preguntará sobre el
medio desde el que vamos a recuperar los archivos. Como dato a destacar,
permite la recuperación de archivos de medios ópticos como CDs y DVDs. En
nuestro caso vamos a recuperar archivos desde un disco duro.
26. En el próximo paso vamos a seleccionar el dispositivo de dónde vamos a
recuperar los archivos.
A continuación se elige el tipo de recuperación. Podemos elegir si queremos
recuperar archivos recién eliminados, archivos eliminados por un formateo, buscar
particiones o mostrar un diagnóstico del estado del disco.
27. Antes de empezar nos mostrará un resumen de las acciones a realizar según lo
que hayamos seleccionado.
Al pulsar sobre continuar comenzará la búsqueda de archivos. La búsqueda que
realiza es profunda por lo que le llevará su tiempo. Paciencia.
28. Una vez finalizada la búsqueda de archivos nos aparecerán en la aplicación
ordenados por tipos (imágenes, documentos, audio, vídeo etc.)
Desde aquí podemos buscar el archivo que queremos recuperar según su tipo y
extensión.
29. Seleccionar el archivo que vamos a recuperar y pulsamos el botón “guardar” de la
parte superior. Seleccionamos el directorio donde los guardaremos y ya
tendremos nuestro archivo recuperado, sin más dificultad.
File Recovery 2013:14
Con una interfaz muy similar a la del software anterior este programa permite
recuperar archivos eliminados.
File Recovery 2013 funciona desde Windows 2000 hasta Windows 8 sin
problemas y de manera oficial, por lo que podremos utilizarlo en cualquier sistema
operativo de escritorio de Microsoft y recuperar nuestros archivos desde allí.
Soporta los sistemas de ficheros FAT, NTFS, EFS y HFS. Uno de los principales
potenciales de esta aplicación es que nos permitirá recuperar archivos desde
discos duros locales, medios ópticos, medios digitales, iPods y algunos teléfonos
móviles.
14
File Recovery 2013: Recupera tus archivos eliminados. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/file-recovery-2013-recupera-tus-archivos-eliminados/
30. Las características de File Recovery 2013 son:
Interfaz sencilla de utilizar. Misma interfaz en Windows como en Mac.
Analiza y crea un árbol con los archivos perdidos para su mejor
localización.
Recuperación de datos segura que impide que se sobrescriba la unidad
escaneada.
Permite guardar los datos en cualquier unidad que no sea la escaneada
como memoria flash, unidad óptica, unidad de red, etc.
Posee opción de búsqueda inteligente que buscará archivos afines a unos
parámetros que hayamos establecido en vez de toda la unidad.
Se puede comprar y descargar File Recovery 2013 desde su página oficial. El
precio de una licencia, dependiendo del uso al que esté orientado varía entre 70$
la versión Standard hasta 350$ en su versión empresarial de File Recovery 2013.
Una vez descargado se instala normalmente.
Una vez instalado File Recovery 2013, durante la primera ejecución nos
preguntará por el idioma en el que queremos el programa.
31. Pulsamos aceptar y ya accedemos a la ventana principal del programa.
El programa consta de un asistente que de forma muy sencilla nos permitirá elegir
el origen, tipo de archivo y demás parámetros para la búsqueda. Pulsamos sobre
continuar y el programa nos pedirá el tipo de dispositivo desde el que vamos a
recuperar los archivos.
32. Seleccionamos Disco Rígido para buscar archivos eliminados en uno de los discos
locales. Pulsamos sobre continuar y nos preguntará por la partición donde
queremos buscar.
A continuación seleccionaremos el tipo de recuperación. Podemos elegir uno de
los siguientes tipos:
Recuperación de un archivo: Nos permite recuperar un archivo eliminado
mediante formateo o eliminación de la papelera.
33. Recuperación de memoria: Una recuperación de archivos más profunda
cuando la recuperación normal no encuentra el archivo.
Buscar volúmenes: Para recuperar particiones desaparecidas.
Diagnóstico del disco: Nos devuelve los datos SMART del disco.
Herramientas del disco: Una serie de herramientas y utilidades para los
datos del disco.
Pulsamos continuar y nos mostrará un resumen de las opciones seleccionadas.
34. Pulsamos de nuevo sobre continuar y comenzará la exploración del disco.
Una vez finalizada la búsqueda de archivos nos aparecerán listados para
recuperarlos.
Debemos situarnos sobre el tipo de archivo que queremos recuperar y
seleccionarlo en la lista. A continuación haremos click sobre el botón “Guardar” de
la parte superior para recuperar el archivo.
35. Ya tenemos nuestro archivo recuperado correctamente.
MiniTool Power Data Recovery:15
Uno de los principales atractivos de esta aplicación es su facilidad de uso.
MiniTool Power Data Recovery dispone de una versión gratuita que permite
recuperar 1GB de archivos sin necesidad de tener que pagar por su uso.
MiniTool Power Data Recovery es compatible con todas las versiones de Windows
y soporta dispositivos (internos y externos) formateados en FAT o en NTFS.
Una vez descargado se instala en Windows como un programa normal.
15
Recupera archivos con MiniTool Power Data Recovery. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/recupera-archivos-con-minitool-power-data-recovery/
36. Se ejecuta la aplicación y se verá la ventana principal de la aplicación.
Aquí se elige en primer lugar el tipo de recuperación que queremos:
Archivos eliminados.
Particiones dañadas.
Particiones perdidas.
Dispositivos multimedia (cámaras, mp3, etc.).
Discos ópticos.
En nuestro caso vamos a recuperar archivos eliminados por accidente, para ello
seleccionamos la primera opción. A continuación nos aparecerán los discos duros
37. detectados por el sistema. En nuestro caso solo tenemos C conectado así que lo
seleccionaremos.
Hacemos click sobre “Recover” y el programa comenzará a buscar los archivos
eliminados del disco.
Tras unos instantes mostrará la información catalogada por carpetas. Se
selecciona la carpeta donde estaba el archivo originalmente.
38. Una vez seleccionados los archivos a recuperar, dar click sobre “Save Files” y
elegir la ruta a guardar.
39. Con esto ya habremos recuperado los archivos eliminados.
MiniTool Power Data Recovery es sin duda la aplicación más sencilla de
recuperación de datos a la vez que gratuita.
Recuva:16
De los creadores de Ccleaner está Recuva. Este programa gratuito permite
recuperar archivos eliminados. Para ser gratuito no tiene nada que envidiar a los
programas de pago. No es tan completo como los anteriores pero a cambio es
muy rápido y sencillo de usar. Totalmente en español.
Las características de Recuva son:
Recupera archivos borrados del equipo.
Recupera archivos de discos formateados o dañados.
Recupera emails.
Recupera música de iPod.
Dispone de asistente que simplifica enormemente el proceso.
Análisis profundo para una búsqueda más exhaustiva de los datos.
Permite realizar borrado seguro de los datos para impedir su futura
recuperación.
Recuva solo está disponible para los sistemas operativos de Windows, desde
Windows XP hasta Windows 8. La aplicación está traducida a más de 35 idiomas.
16
Recuva: Manual para recuperar archivos eliminados. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/recuva-manual-para-recuperar-archivos-eliminados/
40. Recuva tiene una versión gratuita, una versión doméstica para la mayoría de los
usuarios que dispone de asistencia técnica que te ayudará a la recuperación y una
versión de negocios que deberá ser adquirida en caso de esta aplicación sea
utilizada en un negocio. De igual forma esta última versión dispone de un soporte
avanzado más profesional.
Una vez finalizada la instalación se ejecuta la aplicación y aparece el asistente de
recuperación.
Pulsar sobre siguiente para continuar y mostrará una lista en la que debe
seleccionar el tipo de archivo a recuperar. Seleccionar por ejemplo all files para
que muestre el programa todos los archivos posibles a recuperar. Pulsar siguiente
para continuar.
41. A continuación se debe especificar el directorio donde queremos que el programa
busque los archivos. Podemos elegir si buscar los archivos en todo el equipo o por
el contrario especificar un directorio, una unidad, la papelera, etc. Pulsamos
siguiente para continuar.
42. El asistente muestra una ventana en la que indica que está listo para comenzar.
Podemos seleccionar aquí si queremos activar (o no) el análisis profundo.
Pulsar sobre iniciar y comenzará la búsqueda de archivos eliminados.
Una vez finalice la búsqueda podremos ver los resultados que nos ofrece Recuva.
43. Los círculos que muestra al lado del nombre del archivo indica el estado de este.
Un círculo verde indica que se puede recuperar sin problemas. Un círculo naranja
indica que el archivo está corrupto pero puede ser recuperado aunque
probablemente sea inaccesible.
Un círculo rojo indica que el archivo está totalmente dañado y no podrá ser
recuperado. Ahora basta con seleccionar los archivos que queremos recuperar
marcando su correspondiente tick y pulsamos sobre el botón de “recuperar”. El
programa nos preguntará por el directorio donde vamos a recuperar los archivos.
Seleccionamos el destino para estos y ya tendremos los archivos recuperados.
44. Como alternativa gratuita a la recuperación de datos Recuva es excelente. En
muchas ocasiones podrá recuperar los archivos sin problema pero puede haber
casos en los que se necesiten opciones avanzadas que solo ofrecen las
aplicaciones de pago.
Recuperar archivos en Linux
Photorec:17
Es una herramienta gratuita distribuida junto al paquete de TestDisk que permite
recuperar datos. Pese a su buen funcionamiento la aplicación es algo complicada
de usar ya que funciona desde terminal sin interfaz gráfica. Tampoco ofrece
posibilidad de seleccionar los archivos a recuperar sino que recuperará y guardará
todo lo que encuentre para una futura búsqueda por parte del usuario del archivo.
17
Photorec: Recupera archivos eliminados desde Ubuntu. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/gnu-linux/photorec-recupera-archivos-eliminados-desde-ubuntu/
45. Photorec es el software de recuperación de archivos que viene incluido con
la conocida utilidad testdisk. Para instalar Photorec se debe instalar la herramienta
testdisk. Para ello escribiremos en un terminal:
sudo apt-get install testdisk
Una vez finalizada la instalación de testdisk también tendremos instalado el
paquete Photorec. Photorec no dispone de interfaz gráfica por lo que hay que
utilizarlo desde un terminal al igual que testdisk, para ello ejecutaremos el
siguiente comando en un terminal:
sudo photorec
Cargará la aplicación en el terminal.
En primer lugar aparecen todos los discos o memorias USB conectadas al
ordenador. Seleccionar con las flechas del teclado el disco del cual vamos a
recuperar los datos y pulsamos ENTER.
A continuación seleccionar la partición a recuperar. En nuestro caso, solo tenemos
una partición así que la seleccionamos y pulsamos enter para continuar. Si
queremos analizar el disco entero también podemos seleccionar la opción “no
partition” y el programa analizará todo el disco.
46. El programa a continuación nos preguntará por el sistema de archivos del disco o
partición. En caso de estar formateado en un sistema EXT seleccionaremos la
primera opción, de lo contrario (FAT, NTFS etc) seleccionamos la segunda.
47. En el siguiente paso debemos seleccionar si queremos buscar archivos existentes
en el espacio libre del disco o en toda la superficie. Los archivos que se
encuentran en el espacio libre es más probable que se recuperen
satisfactoriamente. Aun así puede ocurrir que el archivo a recuperar no se
encuentre en el espacio libre y habrá que usar una búsqueda en el disco
completo.
Ahora seleccionar el destino donde guardaremos los archivos recuperados por
defecto en la carpeta /homedel sistema. Seleccionaremos con las flechas el
directorio donde guardar los archivos recuperados y pulsaremos C para
seleccionar.
48. Ahora el sistema comenzará a buscar los archivos eliminados. El proceso tardará
un buen rato dependiendo de la capacidad del disco.
Una vez finalizada la búsqueda, el programa nos habrá recuperado todos los
archivos que haya encontrado. No tenemos opción a seleccionar los que
49. queremos y los que no. Directamente nos recuperará todos y los guardará en la
carpeta que le hayamos seleccionado.
Ahora solo debemos buscar los archivos que queríamos recuperar y copiarlos a un
nuevo directorio.
Empresas especializadas en la recuperación de datos
En caso que no sea posible recuperar información de vital importancia, se pueden
conseguir empresas especializadas en la recuperación de archivos. Estas
empresas no tienen un precio especialmente bajo (es bastante caro) pero
garantizan en un 95% que nuestros datos serán recuperados sea cual sea el fallo
que tenga el disco duro, el lector, el plato, etc. Algunas empresas son:
Recovery Labs (http://www.recoverylabs.com/)
Recovery Labs es una de las empresas más conocidas de recuperación de
archivos. Las opiniones generales de los usuarios sobre esta empresa son muy
buenas y los precios pese a ser caros no son excesivos.
OnRetrieval: (http://www.onretrieval.com/)
Onretrieval es otra empresa de recuperación de archivos situada en España. Esta
empresa ofrece un diagnóstico en menos de 5 horas del dispositivo y ofrecerá un
presupuesto. Enviará un listado con los archivos recuperados y únicamente cobra
por archivos recuperados.
50. InfoRescate (http://www.inforescate.com/)
Esta empresa garantiza el mínimo precio en la recuperación de los archivos.
Permite recuperar los archivos desde cualquier dispositivo de almacenamiento.
Ofrece un presupuesto en menos de 5 horas gratuito y sin compromiso.
Por ejemplo se puede utilizar el programa Western Digital Smartware para realizar
copias de forma rápida, sencilla y automática. También podemos hacer las copias
manualmente pero con este software con tener el disco enchufado no tenemos
que preocuparnos de más.
“Western Digital Smartware está orientado para usarse con discos de la
compañía como la serie MyPassport o Elements, pero funciona perfectamente
con cualquier dispositivo USB, ya sea disco duro externo, memoria USB e incluso
posee soporte para sincronizar los archivos con Dropbox.
Para conseguir el programa acceder a la página web de Western Digital
http://www.redeszone.net/2013/03/24/western-digital-declara-abril-como-el-mes-
de-las-copias-de-seguridad/. Allí se elige si queremos descargar la versión de
prueba de 30 días o adquirir una licencia de uso.
El precio de las licencias es aceptable para una herramienta de este tipo. Se paga
una licencia normal de 29.99€ (19.99€ en promoción) que permite ser usada hasta
en 3 ordenadores o una licencia profesional por 49.99€ (39.99€ en promoción) que
permitirá usarla hasta en 10 equipos.”18
18
Fuente de consulta. Velasco Rubén. Mantén una copia de seguridad de tus archivos con Western Digital
Smartware. Consultado el 14 de octubre de 2013. http://www.redeszone.net/2013/04/18/manten-una-
copia-de-seguridad-de-tus-archivos-con-western-digital-smartware/