Cómo detener el ransomware en tiempo real | EasyDMARC

Cómo detener el ransomware en tiempo real

8 min de lectura
.

¿Qué harías si tu dispositivo se viera afectado repentinamente por malware? Sin aviso y de un solo golpe, tus archivos y datos son encriptados y no puedes leerlos o abrirlos. Todo lo que tiene valor en tu dispositivo súbitamente es un montón de garabatos incomprensibles, y la única forma de recuperar el acceso a tus datos es pagando rescate a un hacker desconocido.

Esto puede sonar como una total pesadilla, pero es una posibilidad bastante factible para muchas personas, empresas y organizaciones a nivel mundial. Cabe preguntar entonces, ¿qué podemos hacer para combatirlo? Nuestro consejo: asegúrate de tener un plan; como estas por darte cuenta, el ransomware depende de las reacciones instintivas y las malas decisiones tomadas de forma apresurada.

El ransomware es un tipo de malware que infecta datos y documentos, y los encripta con una clave que posee el hacker. Este pirata informático exige un rescate, y si no este no se paga dentro de un plazo determinado (usualmente entre 24 a 48 horas), los datos serán borrados para siempre.

Es necesario saber cómo protegerse del ransomware antes de que este ocurra, pero, ¿Qué podemos hacer si es demasiado tarde?

Sigue leyendo para conocer los pasos que debes tomar para detener los ataques de ransomware que pueden afectar tu red.

Aísla el dispositivo infectado

Lo primero que debes hacer es detener la propagación del ransomware; tus acciones deben ser rápidas y precisas si perteneces a una empresa u organización. La diferencia entre una molestia relacionada a un malware y una pérdida de acceso que traiga como consecuencia el cese de operaciones de una empresa es de la noche a la mañana, y el punto de inflexión más vital es el que muestra hasta donde se propaga el ransomware, por lo que te recomendamos desconectar de forma inmediata cualquier dispositivo que esté conectado al sistema infectado.

Desconecta unidades de almacenamiento, asegúrate de que no haya conexiones inalámbricas desde el punto de infección a otros equipos y desconéctalo de la red. La reacción rápida es vital en este paso, tan pronto localices la infección, es necesario que aísles el sistema tan rápido como sea posible para evitar que el virus se propague.

Desconecta todos los dispositivos conectados a la red

Una vez aislado el sistema infectado, es hora de ocuparte por la red. Muchas formas de malware plantan sus raíces en una terminal y se dirigen directamente a tu red.

Asegúrate de desconectar todos los dispositivos que puedan estar conectados a la red lo antes posible, ten presente que el ransomware puede estar presente en tu red en cualquier momento, por lo que tu objetivo es asegurarte de este no tenga forma de acceder a tus sistemas a través de otras conexiones.

Realiza una evaluación de daños

Una vez desconectados los dispositivos y aislado el sistema, es hora de realizar un diagnóstico para identificar los daños. Comprueba las unidades de almacenamiento y las carpetas compartidas, así como también los dispositivos de almacenamiento dentro de la red y carpetas externas, tus unidades de USB y la nube; asegúrate de comprobar cualquier ubicación de datos importantes.

¿Hasta dónde se permitió que se propagara el malware y hasta dónde logró llegar? En el mejor de los casos, es posible que la aplicación de las medidas descritas haya sido suficientemente rápida para evitar que alcance datos esenciales.

De hecho, es posible que no se pierda nada que no tengas en tus copias de seguridad, en el peor de los casos, pasarás algo de angustia al descubrir amplias cantidades de datos encriptados e irrecuperables, independientemente de la situación, lleva un registro detallado del daño.

Investiga si han robado credenciales o datos

Esta es la parte más importante de la evaluación de daños. ¿Qué valor tienen los datos que han sido encriptados? ¿has perdido credenciales importantes? ¿Grandes volúmenes de información simplemente ya no están o están encriptadas? Es de suma importancia determinar el valor de la información faltante y la capacidad de reemplazo de estos datos para determinar cómo responder al ataque.

Evita dentro de lo posible responder al atacante, o al menos no lo hagas sin tener un plan. Incluso si este tiene credenciales importantes bajo su control, los atacantes de ransomware no siempre cumplen su palabra y devuelven la información.

Es imprudente suponer honestidad de parte de los atacantes, mucho menos ética para cumplir sus términos y regresar lo que han tomado, en el peor de los casos, es mejor que te tomes un minuto y consideres tus opciones.

Ubica al “paciente cero”

Una vez que tienes percepción general del daño que has sufrido, puedes comenzar a buscar la fuente infectada. Averiguar el punto de acceso del malware hace este proceso más manejable, sin embargo, esto no quiere decir que sea un proceso fácil. Es común que el ransomware requiera acciones en el extremo receptor para propagarse, la forma de infección más común es a través de un correo electrónico o un enlace defectuoso.

Rastrea los pasos del virus y pregunta a los empleados sobre sus actividades en línea más recientes, esto te ayudará a determinar posibles puntos de entrada. En ciertas instancias, los archivos encriptados tienen un “propietario” adjunto en las propiedades, este usuario es el que fue usado como puente de ingreso para el malware.

Identifica el tipo de ransomware (cepa)

Ahora es momento de investigar con qué tipo de ransomware estás lidiando, es importante tener buena comprensión de este ya que las respuestas y tratamientos que se recomiendan son diferentes según el tipo de ransomware.

Algunos de los tipos de ransomware más grandes que existen son cepas como Bad Rabbit, GoldenEye, Locky, Maze, Ryuk, Dharma, etc. Toma nota de los síntomas de la cepa afectando tu sistema y estudia qué tipos de ransomware coinciden.

Este paso te ayudará a comprender qué método de recuperación puedes usar a futuro.

Informa a las autoridades del ransomware.

Antes de continuar con el plan de acción que llevarás a cabo para manejar el asunto, debes informar la infección de ransomware a las autoridades; procura investigar sobre el asunto para prevenir futuros ataques. Si dejas que tu atacante se salga con la suya sin ningún tipo de consecuencia, este seguirá atacando a otras víctimas, por lo que para ayudar a detener el ransomware, es necesario denunciar el ataque de inmediato.

Evalúa tus copias de seguridad

En el mejor de los casos, puede que ni siquiera sea necesaria darle una respuesta al atacante. Antes de analizar tus opciones, primero revisa tus copias de seguridad. La situación más idónea es tener copias de seguridad actualizadas de la mayoría de los datos que se perdieron, y asegurarte a la vez que ninguna de las copias de seguridad se vio afectada por el ataque.

En este caso, es posible que no necesites responder al atacante en absoluto ya que su ataque ha fallado, mientras aísles la infección y recuperes tus sistemas con las copias de seguridad, todo estará bien. Es lamentable que esta no sea la norma en la mayoría de las ocasiones; si no tienes tus respaldos al día, este es el momento perfecto para actualizarlos.

Investiga tus opciones de encriptación

Si ya has investigado el comportamiento de la cepa de malware que te afecta, debes tener una idea clara del tipo de ransomware con el cual estás lidiando, usa este conocimiento para investigar a fondo sobre opciones de encriptado. Existen organizaciones que pueden ayudar a reparar el daño que has sufrido y detener los ataques de ransomware a futuro.

Uno de los mejores lugares para iniciar tu búsqueda es un sitio llamado “No More Ransom,” donde puedes acceder a herramientas y cargar copias de archivos encriptados para buscar coincidencias con el proceso de cifrado adecuado contra una encriptación específica.

Elige una opción de respuesta

Si las soluciones que hemos aportado hasta ahora no son suficientes para recuperar tus archivos, es momento de enfrentar la dura realidad, ya que existe una alta posibilidad de que estos se pierdan para siempre. No te recomendamos pagar rescate, ya que lo más probable es que ni siquiera recibas los medios para deshacer la encriptación de tus archivos después de que canceles la suma de dinero.

Si los archivos son vitales, puedes considerar el valor del gasto de rescate para recuperarlos.

Pensamientos de cierre

Es mucho más fácil prevenir el ransomware que luchar contra él, si caes víctima ante este, aún hay algo que puedes hacer: mantente atento a tus copias de seguridad y procura tener un manejo de salud cibernético impecable en tu organización. Con prevención, el ransomware no podrá penetrar tu sistema.

Incluso si así lo hiciera, tiene múltiples opciones a considerar antes de siquiera pensar en pagar rescate.