¿Cómo sucedió?

A veces no somos conscientes de cómo nuestro dispositivo ha resultado infectado. Lo más habitual es que las infecciones se produzcan por alguna de las siguientes vías:

  • correo electrónico con adjuntos maliciosos;
  • escritorio remoto expuesto a Internet, con credenciales poco robustas y sin mecanismos de protección;
  • vulnerabilidades en el navegador web que facilitan la infección al navegar por sitios maliciosos;
  • vulnerabilidades de los servicios expuestos a internet (FTP, SSH, RDP, etc...);
  • dispositivos externos infectados que se conectan a los equipos corporativos.

Así se manifiesta:

El ransomware se manifiesta cuando el daño ya está hecho, es decir, cuando la información ha sido bloqueada. Se muestra un mensaje en la pantalla advirtiéndonos de este hecho y pidiéndonos el rescate para su liberación. El mensaje puede incluir amenazas de destrucción total de la información si no pagamos, y apremiarnos a realizar el pago de manera urgente.

 

¿Como me recupero?

Sigue estos pasos:

  1. Aísla el equipo de la red: esto evitará que el ataque se propague a otros dispositivos. Sospecha de discos duros, unidades de red o servicios en la nube que tuvieras conectados por si el ransomware se hubiera propagado y también estuvieran afectados.

» Cambia inmediatamente todas las contraseñas de red y de cuentas online. Una vez se ha eliminado el ransomware, vuelve a cambiarlas. Recuerda que una contraseña debe ser robusta, fuerte y única para cada servicio

  1. Clona el disco duro: se recomienda realizar una clonación completa del disco. De esta manera, podrás mantener el dispositivo original y así intentar recuperar los datos sobre el clon. Si no existiera solución a día de hoy, es posible que en el futuro sí la haya, por lo que podrías llegar a recuperar tus ficheros.

» Como solución en caso de que no exista denuncia, conecta el disco duro del equipo afectado a otro ordenador aislado de la red y preparado para pruebas y no arranques con él, utilízalo de «esclavo» para poder comprobar qué información se ha salvado y hacer una copia. Debes tener cuidado de salvar solo los datos importantes (documentos, fotos, certificados…) y no archivos ejecutables o programas que puedan volver a infectar de nuevo al equipo.

» Si fuera posible recoge y aísla muestras de ficheros cifrados o del propio ransomware, como el fichero adjunto en el mensaje desde el que nos infectamos

» Cambia el disco duro. También puedes extraer el disco duro afectado y conservarlo como prueba o mantenerlo almacenado por si, posteriormente, aparece una solución de descifrado de la información que permita recuperar su contenido

  1. Desinfectar el disco clonado: el siguiente paso sería desinfectar el disco clonado para intentar después recuperarlo. Para ello se debe utilizar una herramienta antivirus o antimalware actualizada. Es muy importante eliminar el software malicioso y sus posibles persistencias antes de recuperar los datos, ya que, si no se hace, podrían volver a ser cifrados.
  2. Recupera y restaura los equipos para continuar con la actividad. Si fuera posible reinstala el equipo con el software original o arranca en modo seguro y recupera un backup previo si lo tuvieras. Se recomienda utilizar la página web www.nomoreransom.org/
  1. Intenta recuperar los datos: con el disco desinfectado, podremos iniciar el proceso para intentar recuperar los datos.

 

» Si existe una solución, la página te ofrecerá la herramienta para descifrar los ficheros y un manual explicativo que contiene la información detallada de cómo utilizarla. Léela con detalle antes de ponerla en práctica y contacta con tu soporte informático.

 

» Si no existe solución, conserva el disco cifrado por si apareciera una solución en el futuro

 

  1. Restaura la copia de seguridad
  • Revisa si el sistema de ficheros del sistema operativo cuenta con shadow copy o snapshot, que mantiene copias de versiones anteriores de ficheros. Localiza una copia previa a la infección y restáurala. Habrás perdido datos, pero podrás continuar con tu actividad.
  • Finalmente, utiliza un disco nuevo o formateado, así como una instalación en limpio del sistema operativo y restaura la copia de seguridad más reciente anterior a la infección. En caso de haber descifrado la información, puedes transferirla a tu instalación en el nuevo soporte.

¿Por qué no has de pagar el rescate?

Si te ha ocurrido un incidente tendrás muchas dudas sobre si acceder a pagar el rescate o no. Nuestra recomendación es que no pagues el rescate que te exigen los ciberdelincuentes por los siguientes motivos:

» Pagar no te garantiza que vuelvas a tener acceso a los datos, recuerda que se trata de delincuentes.

» Si pagas es posible que seas objeto de ataques posteriores, pues ya saben que estás dispuesto a pagar.

» Puede que soliciten una cifra mayor una vez hayas pagado.

» Pagar fomenta el negocio de los ciberdelincuentes