Categories
Seguridad

Como eliminar un ransomware que afecte a tu empresa

Los virus ransomware son una amenaza para muchas empresas y particulares. Este tipo de virus se basan en encriptar los ficheros importantes de un ordenador o red de ordenadores para hacerlos inaccesibles a sus propietarios. Su objetivo es obtener una recompensa económica (normalmente en bitcoins) para que tu ordenador vuelva a estar operativo.

Cuando te contagias con el ransomware el virus lo que hace es encriptar los ficheros importantes para que no los puedas abrir. Cifra los archivos personales y carpetas (documentos, hojas de cálculo, imágenes y vídeos). Los archivos originales se borran una vez cifrados. Los usuarios normalmente se encuentran con un archivo de texto con las instrucciones para realizar el pago en la misma carpeta que los nuevos archivos inaccesibles.

Historia de su nacimiento

En 1989 el troyado AIDS (también conocido como «PC Cyborg»), escrito por Joseph Popp, es el primer ransomware conocido. Era un troyano que reemplazaba al archivo AUTOEXEC.BAT, que luego sería utilizado por AIDS para contar la cantidad de veces que la computadora se ha iniciado. AUTOEXEC.BAT es el nombre de un archivo de sistema originario del sistema operativo MS-DOS.

Ya en 2005 hace su aparición un ransomware enfocado a la extorsión. Ya los esfuerzos se enfocan a obtener una recompensa económica. A mediados de 2006, gusanos como Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, y MayArchive empiezan a utilizar esquemas de cifrado RSA más complejos, incrementando el tamaño de las claves.

En 2011 aparece un gusano ransomware que imita el aviso de Activación de Productos Windows (Windows Product Activation). En 2013 entra en escena un gusano ransomware basado en el exploit kit Stamp.EK y un ransomware específico de Mac OS X. CryptoLocker consigue recaudar alrededor de $5 millones en los últimos cuatro meses del año. En 2015 aparecen más variantes que causan mayores daños en múltiples plataformas.

Bloqueo de tu ordenador

Algunos, pero no todos los tipos de software de cifrado, muestran una ‘pantalla de bloqueo’:

ransomware

En esta pantalla se informa que los documentos importantes han sido encriptados con una clave única, generado para ese propio ordendor. La clave de descifrado se encuentra segura en un servidor de internet y nadie puede desencriptarlo hasta que pagues y obtengas esa clave.

El proyecto No More Ransom

El portal No More Ransom fue lanzado en julio de 2016 por cuatro socios fundadores: Europol EC3 (European Cybercrime Centre), Politie National High Tech Crime Unit de la policía de los Paises Bajos, Kaspersky y McAfee. Los servicios de seguridad de la mayor parte de los paises forman parte de los socios de este proyecto como puede verse en https://www.nomoreransom.org/es/partners.html.

Las fuerzas y cuerpos de seguridad y las compañías tecnológicas se han unido fuerzas para tratar de evitar las operaciones de cibercriminales que hacen uso de ransomware.

El portal No More Ransom tiene el objetivo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagar a los criminales. Dado que es mucho más fácil evitar la amenaza que revertirla una vez un sistema se haya visto afectado, el proyecto también se dirige a educar a los usuarios sobre cómo funciona el ransomware e informar sobre qué contramedidas se pueden tomar para prevenir eficazmente una infección. La unión hace la fuerza.

Como evitar un ataque ransomware

Hay serie de sencillos pasos que permite evitar este tipo de ataques:

  1. Haz una copia de seguridad periódicamente de tus archivos importantes. Si posees un sistema para recuperar tus archivos tras una infección de ransomware es una forma de prevenirlo. Reviertes esos archivos y cargas una copia de un día antes o unos días antes. Puedes hacerlo de varias formas: copia tus archivos en dos nubes, de ese modo tienes un doble check. También puedes grabar los archivos en un disco duro externo cada cierto tiempo.
  2. Tener un software antivirus para proteger tu sistema del ransomware. No desactives la detección mediante heurísticas ya que ésto ayuda a capturar muestras de ransomware que aún no hayan sido detectadas formalmente.
  3. Mantén el software de tu PC actualizado. Siempre es buena idea tener el sistema operativo del ordenador puesto al día. Pero no solo del ordenador, cualquier dispositivo electrónico que tenga actualizaciones deben estar actividas y mejor aún, si tiene actualizaciones automáticas hay que habilitarlas.
  4. No te fíes de nadie. Cualquier persona puede comprometer sus datos y los tuyos, así que aunque sea tu mejor amigo/a no te fíes. No abras archivos sospechosos.
  5. Activa la opción de mostrar las extensiones de los archivos en el menú de configuración de Windows. Es una forma muy adecuada de descubrir el tipo de archivo que estás abriendo. Ten cuidado con las extensiones como ‘.exe’, ‘.vbs’ y ‘.scr’. Los estafadores pueden usar varias extensiones para camuflar un fichero malicioso como un video, una foto o un documento.
  6. Si descubres algún proceso sospechoso en tu ordenador, desconéctelo inmediatamente de internet o de otras conexiones en red (como el WIFI de casa). El sentido común es importante para de este modo prevenir que una infección se propague.

Formas de eliminar la amenaza Ransomware

La página web ofrece un catálogo de conocidos virus Ransomware y la forma de vacunarte contra ellos. Está en continuo cambio puesto que suelen salir nuevas versiones de este tipo de virus muy a menudo. Van mutando para adaptarse a las medidas de seguridad que se implementan.

Por ejemplo, un famoso virus ransomware llamado Wannacry existe una sencilla prevención para evitarlo que es desactivar el servicio SMBv1 e instalar los últimos parches de seguridad de Microsoft. Ambas acciones ayudarán a que el malware no se propague por la red. Tienes más información aquí.

Herramientas de descifrado

Las herramientas de descifrado puedes encontrarlas aquí -> https://www.nomoreransom.org/es/decryption-tools.html. Antes de descargar e instalar la solución es muy importante leer las instrucciones. Una vez eliminado es importante confirmar que ya no está el virus en tu sistema, porque en caso contrario se volverá a activar. Cualquier solución antivirus fiable debería bastar para ello.

Leave a Reply