RANSOMWARE Y SISTEMAS DE RECUPERACIN DE DATOS

Ms. Ing. Jairo E. Mrquez D.

Resumen
En el presente documento, se pretende dar una explicacin general sobre el
malware denominado como Ransomware, sus caractersticas de ataque y
prevencin. De igual manera se realizar una recopilacin de varios software
destinados para la recuperacin de datos, aspecto clave cuando se comenten
errores o fallos del sistema y se borran accidentalmente los archivos. De hecho
estas herramientas pueden ser de utilidad en ciertos estudios sobre informtica
forence.
Ransomware
El Ransomware comprende un tipo de software malicioso que restringe el acceso
al sistema informtico que infecta, y exige un rescate para que sea eliminado.
Algunas formas de ransomware consiste en cifrar archivos en el disco duro del
sistema (extorsin cryptoviral), mientras que algunos pueden bloquear el
sistema y mostrar mensajes destinados a convencer al usuario para que pague.
1
1
Ransomware. Consultado el 14 de octubre de 2013. http://en.wikipedia.org/wiki/Ransomware_(malware)
Aunque en un principio popular en Rusia, el uso de las estafas ransomware ha
crecido a nivel internacional;
2
en junio de 2013, el software de seguridad
proveedor McAfee public datos que muestran que haba recogido ms de
250.000 muestras nicas de ransomware en el primer trimestre de 2013-ms del
doble el nmero si se haba obtenido en el primer trimestre de 2012.
3
Ejemplo sobre un randomware.
Un Ransomware se puede propagar como un gusano informtico a travs de un
archivo comn al ser descargado de la red. Cuando se ejecuta, este malweare se
instala en el sistema operativo secuestrando toda la informacin guardada en el
disco duro.
Los ransomware ms sofisticados son hbridos, capaces de cifrar informacin en
texto plano con claves aleatorias simtricas y una clave fija pblica, donde el
delincuente es el nico que conoce la clave privada de descifrado.
Algunas cargas ransomware no utilizan cifrado. En estos casos, la carga es ms
que una aplicacin diseada para restringir efectivamente la interaccin con el
2
Dunn, John E. "troyanos Ransom se extienden ms all del corazn de Rusia" . TechWorld . Consultado el
10 de marzo 2012. http://news.techworld.com/security/3343528/ransom-trojans-spreading-beyond-
russian-heartland/
"Nueva estafa de Internet: ransomware ..." . FBI. 09 de agosto 2012.
http://www.fbi.gov/news/stories/2012/august/new-internet-scam/new-internet-scam
"Malware Citadel contina ofreciendo REVETON ransomware ..." . Internet Crime Complaint Center (IC3). 30
de noviembre 2012. http://www.ic3.gov/media/2012/121130.aspx
3
Update: McAfee: Cyber criminals using Android malware and ransomware the most. Internet Crime
Complaint Center (IC3). Nov. 30, 2012. http://www.infoworld.com/t/security/mcafee-cyber-criminals-using-
android-malware-and-ransomware-the-most-219916
sistema, por lo general al reemplazar explorer.exe en el registro de Windows de
forma predeterminada en la shell,
4
o incluso modificar el registro maestro de
arranque y/o la tabla de particiones, con lo cual no permite que el sistema
operativo se inicie en absoluto hasta que sea reparado.
5
Reveton es uno de los ransomware ms utilizados y extendidos. Es una de las
herramientas ms completas y recientemente se ha actualizado para cambiar su
mtodo de aviso exigiendo al usuario que compre un falso antivirus
llamado Live Security Professional.
Tal como se puede leer en Thread Track Security (consultar
http://www.threattracksecurity.com/it-blog/reveton-malware-replaces-locked-
desktops-with-fake-av/), Live Security Professional se encargar de analizar,
supuestamente, el equipo de la vctima que lo instale y devolver unos resultados
en los que se indica que el sistema tiene un alto nmero de virus, troyanos y
malware. Para desinfectarlo, el falso antivirus, tambin llamado scareware, pide
que el usuario realice otro pago. Pese a la estafa del antivirus, el sistema estar
expuesto a ataques y robo de datos mientras la herramienta est instalada en el
sistema.
Para hacer que los usuarios instalen el falso antivirus, este ransomware bloquea
completamente el escritorio del sistema operativo de la vctima hasta que se
instala. Luego, el falso antivirus, se desbloquea y comienza a funcionar
solicitando al usuario comprar una licencia del mismo para desinfectar los falsos
positivos que muestra durante un supuesto anlisis.
Los ransomware son, actualmente, los malwares que ms peligro pueden suponer
al sistema operativo. Cada vez son ms complejos y estn mejor pensados por
4
"Ransomware: Fake Federal German Police (BKA) notice". SecureList (Kaspersky Lab). Retrieved 10 March
2012. http://www.securelist.com/en/blog/6155/Ransomware_Fake_Federal_German_Police_BKA_notice
5
"And Now, an MBR Ransomware". SecureList (Kaspersky Lab). Retrieved 10 March 2012.
http://www.securelist.com/en/blog/208188032/And_Now_an_MBR_Ransomware
los piratas informticos para conseguir engaar a los usuarios para que paguen un
precio por desinfectarse.
Es posible la recuperacin de archivos infectados con un ransomware?
6
Desde los laboratorios de Eset han realizado un anlisis sobre este tipo de
malware, en concreto sobre el llamado Win32/FileCoder. El funcionamiento de
este ransomware es sencillo. Una vez se infecta el sistema se busca dentro de l
todos los archivos de texto, bases de datos e imgenes (entre otros) y los
comprime protegidos por una contrasea. Cuando el usuario paga el rescate por
los archivos, el ransomware descomprime estos y se elimina del sistema, hasta
una nueva infeccin.
El ransomware mencionado anteriormente se suele distribuir escondido en una
aplicacin llamada Anti-child Porn Spam Protection 2.0. Aparentemente es un
software que protege a los ms menores de visitar pginas web no apropiadas,
pero en realidad lo que esconde es FileCoder que cifrar los datos que detecte en
el sistema vctima.
6
Velasco Rubn. Es posible la recuperacin de archivos infectados con un ransomware? Consultado el 14
de octubre de 2013. http://www.redeszone.net/2013/07/19/es-posible-la-recuperacion-de-archivos-
infectados-con-un-ransomware/
Segn Eset, hay cientos de variables de este ransomware. Dependiendo de la
variable que logre infectar el sistema y cifrar sus datos, los datos pueden ser
recuperables de forma gratuita o no. La compaa de seguridad detect en
algunas variantes que la contrasea de cifrado es nica y fija, y se pueden obtener
mediante ingeniera inversa fcilmente. Por otro lado, en otras variantes el cdigo
es prcticamente aleatorio, por lo que su recuperacin llega a ser prcticamente
imposible.
La compaa Antivirus pone a disposicin de los usuarios suscritos su servicio
tcnico desde el que se ofrecen a ayudar en lo mximo posible a la recuperacin
de los archivos que hayan sido cifrados, aunque ya advierten que no es segura al
100% la recuperacin.
Se recomienda tener cuidado a la hora de bajar archivos de internet. Se debe
tener un sistema antivirus instalado y actualizado que analice el equipo para evitar
ser infectado en caso de descargar un archivo que contenga malware. Tambin es
importante realizar copias de seguridad peridicamente, ya sea en un dispositivo
fsico o en la nube, pero la copia de seguridad permitir recuperar nuestros datos
tras una infeccin.
Cmo desinfectar un equipo infectado con Criptolocker
7
Uno de los tipos de virus que ms peligro tienen de estos tiempos son los
ransomware. Este tipo de malware llega a los ordenadores a travs de pginas
web infectadas o a travs de spam y, al ejecutarse en el sistema, cifra de forma
automtica todos los datos del disco duro obligando al usuario a pagar por el
descifrado de estos. Al ser los datos del usuario lo ms importante para este, la
mayor parte de ellos paga por recuperar los datos, convirtiendo este tipo de
malware en un completo negocio.
Aunque Cryptolocker en sus inicios no dispona de cuenta atrs y nicamente pedan un pago de
100 dlares, las ltimas variantes detectadas le han hecho ms viral y peligroso ya que ahora s
muestra una cuenta atrs para eliminar los archivos y el pago que pide ha aumentado a 300
dlares. La llave de descifrado se encuentra en un servidor secreto en la red, por lo que las
compaas antivirus an no han conseguido descifrar con xito este malware.
Este nuevo ransomware ha sido detectado por la red que est llegando a los
sistemas e infectndolos a travs de las redes sociales. Este nuevo ransomware
se llama Criptolocker y se encarga, igual que otros ransomware, de cifrar los
7
Ibdem.
datos del disco duro para, posteriormente, pedir un pago econmico por la clave
de descifrado.
Dependiendo de la complejidad del ransomware puede ser ms fcil o ms difcil
de eliminar. En el caso de Criptolocker el mtodo a seguir es bastante sencillo, por
lo que los usuarios que se vean infectados por este malware no tendrn que pagar
dinero para liberar su equipo.
Mtodo 1 para desinfectar un equipo infectado con Criptolocker
En primer lugar se arranca el computador en modo a prueba de fallos con
funciones de red. En los sistemas operativos hasta Windows 7 esto se hace
pulsando la tecla F8 en el corto perodo del arranque que existe entre el POST y la
carga de Windows. Aparecer una ventana desde la que se elige el mtodo de
arranque.
Una vez inicie el sistema se intenta una restauracin a un estado anterior. En caso
de que el sistema se restaure correctamente, el sistema quedar limpio y se podr
acceder de nuevo a los datos.
Existe la posibilidad que el usuario no pueda restaurar el sistema a un estado
anterior, por ejemplo, porque no tenga esta funcin habilitada en el sistema o que,
tras la restauracin, el sistema siga infectado. De ser as, podemos probar con el
mtodo 2.
Mtodo 2 para desinfectar un equipo infectado con Criptolocker
En primer lugar se identifica el sistema operativo para poder descargar la versin
adecuada. Para ello, click con el botn derecho sobre Mi PC o Equipo y
seleccionaremos propiedades para ver una ventana de resumen.
Una vez identificado el sistema se descarga y ejecuta, de una en una, las
siguientes herramientas de eliminacin de malware:
ESET Rogue Application Remover:
http://kb.eset.com/esetkb/index?page=content&id=SOLN2372&viewlocale=
es_ES
Microsoft Malicious Software Removal Tool: http://www.microsoft.com/es-
es/download/malicious-software-removal-tool-details.aspx
Una vez eliminado el malware, es posible que algunos archivos queden cifrados.
Para descifrarlos se ejecuta el siguiente programa:
Panda Ransomware Decrypt:
http://www.pandasecurity.com/resources/tools/pandaunransom.exe
Con estos pasos se elimina el malware Criptolocker fcilmente y recuperar el
acceso a nuestros datos sin tener que pagar por ellos.
Fuente: Inteco
(http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/cript
olocker_virus_cifra_ficheros_ordenador_20130924?origen=boletin)
Mtodo 3.
Si queremos evitar que se infecte el equipo con un ransomware, es necesario
instalar una solucin de seguridad informtica que identifique las vulnerabilidades
y utilice un sistema de deteccin de exploits de alto nivel. Si ya el sistema est
infectado, los especialistas de Kaspersky Lab han diseado una herramienta
llamada Kaspersky WindowsUnlocker
(http://support.kaspersky.com/8005?el=88446). Se puede lanzar esta funcin
cuando se inicia el ordenador desde el disco de rescate de Kaspersky Lab.
Recopilacin de software para recuperacin de datos
8
Puede ocurrir que lo que falle y se borre es la tabla de particiones sin necesidad
de que se hayan borrado los datos del disco duro. Si se crea manualmente otra
particin todos los datos sern borrados del disco para que la nueva particin est
vaca. En caso que nuestro problema sea el borrado de la tabla de particiones
podemos recuperarla de forma sencilla con TestDisk. TestDisk es una aplicacin
gratuita que, aunque es algo complicada de usar (hay que conocer varios datos
del disco) funciona de forma excelente.
TestDisk:
9
Descargar TestDisk segn su sistema operativo.
TestDisk permite recuperar las siguientes tablas de particiones:
Apple partition map
GUID
MBR
Solaris
Xbox
Tiene soporte para cualquier sistema de ficheros actual de los distintos sistemas
operativos. Tambin TestDisk es multiplataforma, por lo que podremos ejecutarlo
desde cualquier tipo de sistema operativo. De igual manera, dispone de
distribuciones Linux como Parted Magic que ya incluyen dicha aplicacin en caso
de que no sea imposible iniciar sesin.
8
Velazco Rube. Recopilacin de software de recuperacin de datos. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/2013/06/05/recopilacion-de-software-de-recuperacion-de-datos/
9
Fuente de consulta. http://www.redeszone.net/windows/como-recuperar-particiones-eliminadas-o-
borradas-con-testdisk/
Utilizar TestDisk
10
En primer lugar vamos a utilizar un sistema Windows 7 con 2 discos duros: uno
del sistema y el otro secundario formateado como NTFS pero en el que hemos
eliminado la particin y le hemos dejado sin tabla de particiones por error.
Una vez descargada la aplicacin se ejecuta apareciendo una ventana
de smbolo de sistema donde preguntar si queremos crear un nuevo archivo de
Log, abrir uno existente o comenzar sin utilizar archivo de Log.
Seleccionamos Create para crear un nuevo archivo de Log para recuperar la
particin.
10
Cmo recuperar particiones eliminadas o borradas con TestDisk. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/como-recuperar-particiones-eliminadas-o-borradas-con-testdisk/
A continuacin aparecern los discos duros que detecte el sistema. Seleccione el
disco duro el cual contiene la particin eliminada y que se quiere recuperar. En
nuestro caso, SDA es el disco duro primario que contiene el sistema operativo y
SDB el disco que queremos recuperar. Seleccionamos el disco y pulsamos enter
para seleccionar la opcin preceed para comenzar a explorar.
En la siguiente pantalla preguntar por el tipo de tabla de particiones que tiene el
disco. Lo ms normal es seleccionar una tabla Intel PC a no ser que utilice otras
plataformas como Mac. En nuestro caso seleccionamos Intel PC y pulsamos enter
para continuar.
A continuacin aparece una lista con las diferentes opciones de recuperacin:
Analyse: Analizar la estructura para recuperar una tabla de particiones.
Advanced: Opciones avanzadas de recuperacin.
Geometry: Permite cambiar la geometra del disco.
Options: Opciones de recuperacin.
MBR code: Reescribe la tabla de particiones al principio del disco.
Delete: elimina todo lo relacionado con la tabla de particiones del disco.
Seleccionar la primera opcin Analyse para que el programa realice una
exploracin del disco en busca de la antigua tabla de particiones para poder
recuperarla.
A continuacin preguntar que tipo de bsqueda queremos hacer. En primer lugar
se podr realizar una bsqueda rpida, por lo que se pulsa enter con la opcin
quick search seleccionada.
Tras unos segundos aparecer el resultado de la bsqueda. En nuestro caso ha
encontrado la tabla de particiones a la primera.
Pulsamos enter y TestDisk se encargar de reescribir la tabla de particiones.
Volvemos a la ventana de seleccin de modo de bsqueda. Esta vez aparecern
diferentes opciones: Deeper Search para realizar una bsqueda ms profunda
en todos los sectores del disco. Si en la ventana anterior no ha aparecido ninguna
tabla de particiones a recuperar (la seleccionada en verde) debemos seleccionar
este mtodo para realizar una bsqueda ms agresiva. Si ha aparecido tabla de
particiones a recuperar seleccionar la otra opcin Write para terminar de escribir
la tabla de particiones en nuestro disco.
Confirmamos la escritura de la tabla de particiones pulsando Y
El programa escribir la tabla de particiones y pedir que reiniciemos el equipo
para que los cambios surtan efecto. Reiniciamos y al volver a arrancar el equipo
ya tendremos el disco duro reparado con las particiones y los archivos que
tenamos antes de cometer el error o fallo.
Recuperar archivos en Windows
Uno de los principales casos de eliminacin de datos es el borrado accidental
(vaciar papelera sin comprobar) o la corrupcin de datos por un virus. En estos
casos al estar perfectamente la particin los mtodos anteriores no sirven por lo
que tendremos que comenzar a usar programas de recuperacin de datos.
Recover My Files:
11
11
Cmo recuperar datos eliminados con Recover My Files. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/como-recuperar-datos-eliminados-con-recover-my-files/
Recover My Files es uno de los programas de recuperacin de datos que mejor
resultado devuelven a la hora de recuperar archivos eliminados. Con su ltima
actualizacin la interfaz ha quedado muy intuitiva y sencilla de utilizar por lo que
cualquiera podra probar a recuperar los datos sin tener que pagar por ello.
Es un programa de pago pero no tiene un precio excesivo, aunque es una
herramienta bastante completa.
Este programa slo est disponible para el sistema operativo Windows.
Una vez finalizada la instalacin se ejecuta.
Lo primero que aparecer es un asistente. En dicho asistente se elige si queremos
recuperar archivos eliminados accidentalmente (recover files) o de lo contrario
recuperar todos los archivos de una particin daada o formateada (recover a
drive). En nuestro caso vamos a seleccionar recover files y hacemos click sobre
next para continuar. A continuacin seleccionaremos el disco de donde vamos a
recuperar el archivo.
Pulsar next y elegir el modo de bsqueda que queremos hacer. Podemos
seleccionar una bsqueda de archivos eliminados simple (ms rpida) o hacer una
exploracin ms profunda buscando en toda la estructura de la carpeta lost files.
Seleccionaremos una bsqueda rpida de archivos eliminados.
Recover My Files comenzar a buscar archivos eliminados en el disco duro. Tras
unos instantes (dependiendo del tamao del disco) nos aparecer un rbol de
directorio con todos los archivos encontrados ordenador por carpetas.
A continuacin debemos situarnos sobre el directorio dnde estaban en un
principio nuestros datos y ver si efectivamente hemos podido recuperar nuestros
datos.
En nuestro caso, el archivo que hemos recuperado era un archivo de texto creado
para la causa y que habamos guardado en la carpeta personal del usuario.
Efectivamente lo tenemos all. Para recuperar el archivo y volver a copiarlo al
disco duro, debemos marcar la casilla correspondiente al archivo y pulsar sobre
save. El programa nos guardar el archivo en nuestro disco duro.
Con estos pasos ya tendremos recuperados los archivos eliminados. En caso que
el programa no los detecte, podemos hacer una bsqueda ms profunda
seleccionando en el asistente de bsqueda que el programa busque archivos en la
carpeta Lost Files. De igual manera podemos buscar los archivos eliminados por
el formateo de una particin seleccionando dicha opcin en la primera ventana del
asistente.
Recover My Files es una herramienta excelente para la recuperacin de datos,
pero hay que pagar por ella, y no es precisamente barata (como la mayora de las
herramientas de este tipo).
GetDataBack:
12
Es una herramienta utilizada para recuperar archivos debido a su buen
funcionamiento. La herramienta es algo cara y vende dos versiones por separado
ya sea un disco FAT o NTFS teniendo que pagar por uno u otro.
Podemos descargar una versin de prueba o comprar una licencia desde la web
principal de GetDataBack. GetDataBack es solo compatible con Windows aunque
Runtime Software dispone de herramientas avanzadas de anlisis de discos para
otras plataformas como Linux.
Descargamos GetDataBack (NTFS en nuestro caso) y lo instalamos en nuestro
sistema como un programa normal para el sistema operativo.
12
GetDataBack: Recupera tus archivos eliminados. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/getdataback-recupera-tus-archivos-eliminados/
Una vez finalizada la instalacin ejecutamos la aplicacin y veremos la ventana
principal del programa.
Podemos ver que nos aparecen varias opciones de recuperacin para seleccionar:
I dont know: permite realizar un escaneo con la configuracin bsica.
Quick Scan: realizar una bsqueda rpida de archivos recin eliminados.
Systematic system file damaged: busca archivos perdidos por un formateo
Sustained system file damaged: busca archivos perdidos por una
reinstalacin del sistema operativo
Recover deleted files: permite recuperar archivos eliminados de la papelera.
En nuestro caso vamos a realizar la bsqueda con las opciones por defecto.
Pulsamos sobre next para continuar.
En la siguiente ventana podremos ver los discos duros que tenemos en nuestro
sistema. En caso de disponer de varias particiones en los discos podemos
seleccionar si queremos buscar en un disco completo o solo en una determinada
particin.
Seleccionamos el disco desde el que queremos recuperar y pulsamos sobre
next. Luego se selecciona el sistema de archivos desde el que queremos
recuperar. Para tener mayores probabilidades de recuperar seleccionaremos el
que mayor nmero de sectores y capacidad tiene.
Pulsamos next y el programa realizar una bsqueda de archivos en los sectores
del disco. Tras un rato nos mostrar en una pantalla los resultados con los
archivos que pueden ser recuperados y los que no.
Bastar con seleccionar los datos que queremos recuperar y pulsar sobre el botn
Save de la parte superior para guardar los archivos recuperados. Todo el
proceso puede ser realizado con la versin de prueba excepto guardar los
archivos por lo que podemos utilizar GetDataBack y probar si nos permitira
recuperar el archivo antes de comprar una licencia.
EasyRecovery Pro 10:
13
Otra alternativa que ofrece buen resultado es EasyRecovery Pro 10. Ofrece un
buen rendimiento y calidad de recuperacin. Su precio es algo superior al anterior
pero servir en caso de que otro programa no recupere los archivos.
La versin de prueba est limitada a 30 das de uso y permite la recuperacin de
un solo archivo.
13
EasyRecovery Pro 10: Manual para recuperar datos eliminados. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/easyrecovery-pro-10-manual-para-recuperar-datos-eliminados/
La licencia Home durante 1 ao cuesta 79 dlares, la versin profesional 149
dlares y la versin de empresa 499 dlares.
Se puede comprar una licencia anual de EasyRecovery desde la web.
Una vez descargado el archivo desde su pgina principal lo instalamos en nuestro
sistema operativo como un programa normal.
Una vez instalado el programa lo ejecutamos. En primer lugar nos pedir la
activacin a travs de internet. Hacemos click sobre ejecutar la demo para poder
probar el programa antes de adquirirlo.
A continuacin se observa la pantalla principal del programa.
Para comenzar a buscar los archivos debemos hacer click sobre el botn
continuar de la parte inferior derecha. El programa nos preguntar sobre el
medio desde el que vamos a recuperar los archivos. Como dato a destacar,
permite la recuperacin de archivos de medios pticos como CDs y DVDs. En
nuestro caso vamos a recuperar archivos desde un disco duro.
En el prximo paso vamos a seleccionar el dispositivo de dnde vamos a
recuperar los archivos.
A continuacin se elige el tipo de recuperacin. Podemos elegir si queremos
recuperar archivos recin eliminados, archivos eliminados por un formateo, buscar
particiones o mostrar un diagnstico del estado del disco.
Antes de empezar nos mostrar un resumen de las acciones a realizar segn lo
que hayamos seleccionado.
Al pulsar sobre continuar comenzar la bsqueda de archivos. La bsqueda que
realiza es profunda por lo que le llevar su tiempo. Paciencia.
Una vez finalizada la bsqueda de archivos nos aparecern en la aplicacin
ordenados por tipos (imgenes, documentos, audio, vdeo etc.)
Desde aqu podemos buscar el archivo que queremos recuperar segn su tipo y
extensin.
Seleccionar el archivo que vamos a recuperar y pulsamos el botn guardar de la
parte superior. Seleccionamos el directorio donde los guardaremos y ya
tendremos nuestro archivo recuperado, sin ms dificultad.
File Recovery 2013:
14
Con una interfaz muy similar a la del software anterior este programa permite
recuperar archivos eliminados.
File Recovery 2013 funciona desde Windows 2000 hasta Windows 8 sin
problemas y de manera oficial, por lo que podremos utilizarlo en cualquier sistema
operativo de escritorio de Microsoft y recuperar nuestros archivos desde all.
Soporta los sistemas de ficheros FAT, NTFS, EFS y HFS. Uno de los principales
potenciales de esta aplicacin es que nos permitir recuperar archivos desde
discos duros locales, medios pticos, medios digitales, iPods y algunos telfonos
mviles.
14
File Recovery 2013: Recupera tus archivos eliminados. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/file-recovery-2013-recupera-tus-archivos-eliminados/
Las caractersticas de File Recovery 2013 son:
Interfaz sencilla de utilizar. Misma interfaz en Windows como en Mac.
Analiza y crea un rbol con los archivos perdidos para su mejor
localizacin.
Recuperacin de datos segura que impide que se sobrescriba la unidad
escaneada.
Permite guardar los datos en cualquier unidad que no sea la escaneada
como memoria flash, unidad ptica, unidad de red, etc.
Posee opcin de bsqueda inteligente que buscar archivos afines a unos
parmetros que hayamos establecido en vez de toda la unidad.
Se puede comprar y descargar File Recovery 2013 desde su pgina oficial. El
precio de una licencia, dependiendo del uso al que est orientado vara entre 70$
la versin Standard hasta 350$ en su versin empresarial de File Recovery 2013.
Una vez descargado se instala normalmente.
Una vez instalado File Recovery 2013, durante la primera ejecucin nos
preguntar por el idioma en el que queremos el programa.
Pulsamos aceptar y ya accedemos a la ventana principal del programa.
El programa consta de un asistente que de forma muy sencilla nos permitir elegir
el origen, tipo de archivo y dems parmetros para la bsqueda. Pulsamos sobre
continuar y el programa nos pedir el tipo de dispositivo desde el que vamos a
recuperar los archivos.
Seleccionamos Disco Rgido para buscar archivos eliminados en uno de los discos
locales. Pulsamos sobre continuar y nos preguntar por la particin donde
queremos buscar.
A continuacin seleccionaremos el tipo de recuperacin. Podemos elegir uno de
los siguientes tipos:
Recuperacin de un archivo: Nos permite recuperar un archivo eliminado
mediante formateo o eliminacin de la papelera.
Recuperacin de memoria: Una recuperacin de archivos ms profunda
cuando la recuperacin normal no encuentra el archivo.
Buscar volmenes: Para recuperar particiones desaparecidas.
Diagnstico del disco: Nos devuelve los datos SMART del disco.
Herramientas del disco: Una serie de herramientas y utilidades para los
datos del disco.
Pulsamos continuar y nos mostrar un resumen de las opciones seleccionadas.
Pulsamos de nuevo sobre continuar y comenzar la exploracin del disco.
Una vez finalizada la bsqueda de archivos nos aparecern listados para
recuperarlos.
Debemos situarnos sobre el tipo de archivo que queremos recuperar y
seleccionarlo en la lista. A continuacin haremos click sobre el botn Guardar de
la parte superior para recuperar el archivo.
Ya tenemos nuestro archivo recuperado correctamente.
MiniTool Power Data Recovery:
15
Uno de los principales atractivos de esta aplicacin es su facilidad de uso.
MiniTool Power Data Recovery dispone de una versin gratuita que permite
recuperar 1GB de archivos sin necesidad de tener que pagar por su uso.
MiniTool Power Data Recovery es compatible con todas las versiones de Windows
y soporta dispositivos (internos y externos) formateados en FAT o en NTFS.
Una vez descargado se instala en Windows como un programa normal.
15
Recupera archivos con MiniTool Power Data Recovery. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/recupera-archivos-con-minitool-power-data-recovery/
Se ejecuta la aplicacin y se ver la ventana principal de la aplicacin.
Aqu se elige en primer lugar el tipo de recuperacin que queremos:
Archivos eliminados.
Particiones daadas.
Particiones perdidas.
Dispositivos multimedia (cmaras, mp3, etc.).
Discos pticos.
En nuestro caso vamos a recuperar archivos eliminados por accidente, para ello
seleccionamos la primera opcin. A continuacin nos aparecern los discos duros
detectados por el sistema. En nuestro caso solo tenemos C conectado as que lo
seleccionaremos.
Hacemos click sobre Recover y el programa comenzar a buscar los archivos
eliminados del disco.
Tras unos instantes mostrar la informacin catalogada por carpetas. Se
selecciona la carpeta donde estaba el archivo originalmente.
Una vez seleccionados los archivos a recuperar, dar click sobre Save Files y
elegir la ruta a guardar.
Con esto ya habremos recuperado los archivos eliminados.
MiniTool Power Data Recovery es sin duda la aplicacin ms sencilla de
recuperacin de datos a la vez que gratuita.
Recuva:
16
De los creadores de Ccleaner est Recuva. Este programa gratuito permite
recuperar archivos eliminados. Para ser gratuito no tiene nada que envidiar a los
programas de pago. No es tan completo como los anteriores pero a cambio es
muy rpido y sencillo de usar. Totalmente en espaol.
Las caractersticas de Recuva son:
Recupera archivos borrados del equipo.
Recupera archivos de discos formateados o daados.
Recupera emails.
Recupera msica de iPod.
Dispone de asistente que simplifica enormemente el proceso.
Anlisis profundo para una bsqueda ms exhaustiva de los datos.
Permite realizar borrado seguro de los datos para impedir su futura
recuperacin.
Recuva solo est disponible para los sistemas operativos de Windows, desde
Windows XP hasta Windows 8. La aplicacin est traducida a ms de 35 idiomas.
16
Recuva: Manual para recuperar archivos eliminados. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/windows/recuva-manual-para-recuperar-archivos-eliminados/
Recuva tiene una versin gratuita, una versin domstica para la mayora de los
usuarios que dispone de asistencia tcnica que te ayudar a la recuperacin y una
versin de negocios que deber ser adquirida en caso de esta aplicacin sea
utilizada en un negocio. De igual forma esta ltima versin dispone de un soporte
avanzado ms profesional.
Una vez finalizada la instalacin se ejecuta la aplicacin y aparece el asistente de
recuperacin.
Pulsar sobre siguiente para continuar y mostrar una lista en la que debe
seleccionar el tipo de archivo a recuperar. Seleccionar por ejemplo all files para
que muestre el programa todos los archivos posibles a recuperar. Pulsar siguiente
para continuar.
A continuacin se debe especificar el directorio donde queremos que el programa
busque los archivos. Podemos elegir si buscar los archivos en todo el equipo o por
el contrario especificar un directorio, una unidad, la papelera, etc. Pulsamos
siguiente para continuar.
El asistente muestra una ventana en la que indica que est listo para comenzar.
Podemos seleccionar aqu si queremos activar (o no) el anlisis profundo.
Pulsar sobre iniciar y comenzar la bsqueda de archivos eliminados.
Una vez finalice la bsqueda podremos ver los resultados que nos ofrece Recuva.
Los crculos que muestra al lado del nombre del archivo indica el estado de este.
Un crculo verde indica que se puede recuperar sin problemas. Un crculo naranja
indica que el archivo est corrupto pero puede ser recuperado aunque
probablemente sea inaccesible.
Un crculo rojo indica que el archivo est totalmente daado y no podr ser
recuperado. Ahora basta con seleccionar los archivos que queremos recuperar
marcando su correspondiente tick y pulsamos sobre el botn de recuperar. El
programa nos preguntar por el directorio donde vamos a recuperar los archivos.
Seleccionamos el destino para estos y ya tendremos los archivos recuperados.
Como alternativa gratuita a la recuperacin de datos Recuva es excelente. En
muchas ocasiones podr recuperar los archivos sin problema pero puede haber
casos en los que se necesiten opciones avanzadas que solo ofrecen las
aplicaciones de pago.
Recuperar archivos en Linux
Photorec:
17
Es una herramienta gratuita distribuida junto al paquete de TestDisk que permite
recuperar datos. Pese a su buen funcionamiento la aplicacin es algo complicada
de usar ya que funciona desde terminal sin interfaz grfica. Tampoco ofrece
posibilidad de seleccionar los archivos a recuperar sino que recuperar y guardar
todo lo que encuentre para una futura bsqueda por parte del usuario del archivo.
17
Photorec: Recupera archivos eliminados desde Ubuntu. Consultado el 14 de octubre de 2013.
http://www.redeszone.net/gnu-linux/photorec-recupera-archivos-eliminados-desde-ubuntu/
Photorec es el software de recuperacin de archivos que viene incluido con
la conocida utilidad testdisk. Para instalar Photorec se debe instalar la herramienta
testdisk. Para ello escribiremos en un terminal:
sudo apt-get install testdisk
Una vez finalizada la instalacin de testdisk tambin tendremos instalado el
paquete Photorec. Photorec no dispone de interfaz grfica por lo que hay que
utilizarlo desde un terminal al igual que testdisk, para ello ejecutaremos el
siguiente comando en un terminal:
sudo photorec
Cargar la aplicacin en el terminal.
En primer lugar aparecen todos los discos o memorias USB conectadas al
ordenador. Seleccionar con las flechas del teclado el disco del cual vamos a
recuperar los datos y pulsamos ENTER.
A continuacin seleccionar la particin a recuperar. En nuestro caso, solo tenemos
una particin as que la seleccionamos y pulsamos enter para continuar. Si
queremos analizar el disco entero tambin podemos seleccionar la opcin no
partition y el programa analizar todo el disco.
El programa a continuacin nos preguntar por el sistema de archivos del disco o
particin. En caso de estar formateado en un sistema EXT seleccionaremos la
primera opcin, de lo contrario (FAT, NTFS etc) seleccionamos la segunda.
En el siguiente paso debemos seleccionar si queremos buscar archivos existentes
en el espacio libre del disco o en toda la superficie. Los archivos que se
encuentran en el espacio libre es ms probable que se recuperen
satisfactoriamente. Aun as puede ocurrir que el archivo a recuperar no se
encuentre en el espacio libre y habr que usar una bsqueda en el disco
completo.
Ahora seleccionar el destino donde guardaremos los archivos recuperados por
defecto en la carpeta /homedel sistema. Seleccionaremos con las flechas el
directorio donde guardar los archivos recuperados y pulsaremos C para
seleccionar.
Ahora el sistema comenzar a buscar los archivos eliminados. El proceso tardar
un buen rato dependiendo de la capacidad del disco.
Una vez finalizada la bsqueda, el programa nos habr recuperado todos los
archivos que haya encontrado. No tenemos opcin a seleccionar los que
queremos y los que no. Directamente nos recuperar todos y los guardar en la
carpeta que le hayamos seleccionado.
Ahora solo debemos buscar los archivos que queramos recuperar y copiarlos a un
nuevo directorio.
Empresas especializadas en la recuperacin de datos
En caso que no sea posible recuperar informacin de vital importancia, se pueden
conseguir empresas especializadas en la recuperacin de archivos. Estas
empresas no tienen un precio especialmente bajo (es bastante caro) pero
garantizan en un 95% que nuestros datos sern recuperados sea cual sea el fallo
que tenga el disco duro, el lector, el plato, etc. Algunas empresas son:
Recovery Labs (http://www.recoverylabs.com/)
Recovery Labs es una de las empresas ms conocidas de recuperacin de
archivos. Las opiniones generales de los usuarios sobre esta empresa son muy
buenas y los precios pese a ser caros no son excesivos.
OnRetrieval: (http://www.onretrieval.com/)
Onretrieval es otra empresa de recuperacin de archivos situada en Espaa. Esta
empresa ofrece un diagnstico en menos de 5 horas del dispositivo y ofrecer un
presupuesto. Enviar un listado con los archivos recuperados y nicamente cobra
por archivos recuperados.
InfoRescate (http://www.inforescate.com/)
Esta empresa garantiza el mnimo precio en la recuperacin de los archivos.
Permite recuperar los archivos desde cualquier dispositivo de almacenamiento.
Ofrece un presupuesto en menos de 5 horas gratuito y sin compromiso.
Por ejemplo se puede utilizar el programa Western Digital Smartware para realizar
copias de forma rpida, sencilla y automtica. Tambin podemos hacer las copias
manualmente pero con este software con tener el disco enchufado no tenemos
que preocuparnos de ms.
Western Digital Smartware est orientado para usarse con discos de la
compaa como la serie MyPassport o Elements, pero funciona perfectamente
con cualquier dispositivo USB, ya sea disco duro externo, memoria USB e incluso
posee soporte para sincronizar los archivos con Dropbox.
Para conseguir el programa acceder a la pgina web de Western Digital
http://www.redeszone.net/2013/03/24/western-digital-declara-abril-como-el-mes-
de-las-copias-de-seguridad/. All se elige si queremos descargar la versin de
prueba de 30 das o adquirir una licencia de uso.
El precio de las licencias es aceptable para una herramienta de este tipo. Se paga
una licencia normal de 29.99 (19.99 en promocin) que permite ser usada hasta
en 3 ordenadores o una licencia profesional por 49.99 (39.99 en promocin) que
permitir usarla hasta en 10 equipos.
18
18
Fuente de consulta. Velasco Rubn. Mantn una copia de seguridad de tus archivos con Western Digital
Smartware. Consultado el 14 de octubre de 2013. http://www.redeszone.net/2013/04/18/manten-una-
copia-de-seguridad-de-tus-archivos-con-western-digital-smartware/