¿Cómo sucedió?
A veces no somos conscientes de cómo nuestro dispositivo ha resultado infectado. Lo más habitual es que las infecciones se produzcan por alguna de las siguientes vías:
- correo electrónico con adjuntos maliciosos;
- escritorio remoto expuesto a Internet, con credenciales poco robustas y sin mecanismos de protección;
- vulnerabilidades en el navegador web que facilitan la infección al navegar por sitios maliciosos;
- vulnerabilidades de los servicios expuestos a internet (FTP, SSH, RDP, etc...);
- dispositivos externos infectados que se conectan a los equipos corporativos.
Así se manifiesta:
El ransomware se manifiesta cuando el daño ya está hecho, es decir, cuando la información ha sido bloqueada. Se muestra un mensaje en la pantalla advirtiéndonos de este hecho y pidiéndonos el rescate para su liberación. El mensaje puede incluir amenazas de destrucción total de la información si no pagamos, y apremiarnos a realizar el pago de manera urgente.
¿Como me recupero?
Sigue estos pasos:
- Aísla el equipo de la red: esto evitará que el ataque se propague a otros dispositivos. Sospecha de discos duros, unidades de red o servicios en la nube que tuvieras conectados por si el ransomware se hubiera propagado y también estuvieran afectados.
» Cambia inmediatamente todas las contraseñas de red y de cuentas online. Una vez se ha eliminado el ransomware, vuelve a cambiarlas. Recuerda que una contraseña debe ser robusta, fuerte y única para cada servicio
- Clona el disco duro: se recomienda realizar una clonación completa del disco. De esta manera, podrás mantener el dispositivo original y así intentar recuperar los datos sobre el clon. Si no existiera solución a día de hoy, es posible que en el futuro sí la haya, por lo que podrías llegar a recuperar tus ficheros.
» Como solución en caso de que no exista denuncia, conecta el disco duro del equipo afectado a otro ordenador aislado de la red y preparado para pruebas y no arranques con él, utilízalo de «esclavo» para poder comprobar qué información se ha salvado y hacer una copia. Debes tener cuidado de salvar solo los datos importantes (documentos, fotos, certificados…) y no archivos ejecutables o programas que puedan volver a infectar de nuevo al equipo.
» Si fuera posible recoge y aísla muestras de ficheros cifrados o del propio ransomware, como el fichero adjunto en el mensaje desde el que nos infectamos
» Cambia el disco duro. También puedes extraer el disco duro afectado y conservarlo como prueba o mantenerlo almacenado por si, posteriormente, aparece una solución de descifrado de la información que permita recuperar su contenido
- Desinfectar el disco clonado: el siguiente paso sería desinfectar el disco clonado para intentar después recuperarlo. Para ello se debe utilizar una herramienta antivirus o antimalware actualizada. Es muy importante eliminar el software malicioso y sus posibles persistencias antes de recuperar los datos, ya que, si no se hace, podrían volver a ser cifrados.
- Recupera y restaura los equipos para continuar con la actividad. Si fuera posible reinstala el equipo con el software original o arranca en modo seguro y recupera un backup previo si lo tuvieras. Se recomienda utilizar la página web www.nomoreransom.org/
- Intenta recuperar los datos: con el disco desinfectado, podremos iniciar el proceso para intentar recuperar los datos.
» Si existe una solución, la página te ofrecerá la herramienta para descifrar los ficheros y un manual explicativo que contiene la información detallada de cómo utilizarla. Léela con detalle antes de ponerla en práctica y contacta con tu soporte informático.
» Si no existe solución, conserva el disco cifrado por si apareciera una solución en el futuro
- Restaura la copia de seguridad
- Revisa si el sistema de ficheros del sistema operativo cuenta con shadow copy o snapshot, que mantiene copias de versiones anteriores de ficheros. Localiza una copia previa a la infección y restáurala. Habrás perdido datos, pero podrás continuar con tu actividad.
- Finalmente, utiliza un disco nuevo o formateado, así como una instalación en limpio del sistema operativo y restaura la copia de seguridad más reciente anterior a la infección. En caso de haber descifrado la información, puedes transferirla a tu instalación en el nuevo soporte.
¿Por qué no has de pagar el rescate?
Si te ha ocurrido un incidente tendrás muchas dudas sobre si acceder a pagar el rescate o no. Nuestra recomendación es que no pagues el rescate que te exigen los ciberdelincuentes por los siguientes motivos:
» Pagar no te garantiza que vuelvas a tener acceso a los datos, recuerda que se trata de delincuentes.
» Si pagas es posible que seas objeto de ataques posteriores, pues ya saben que estás dispuesto a pagar.
» Puede que soliciten una cifra mayor una vez hayas pagado.
» Pagar fomenta el negocio de los ciberdelincuentes