Son las 3 de la mañana y empieza a sonar el teléfono sin descanso… Notificación “push” de una incidencia: los equipos no funcionan por culpa de un ataque ransomware y los datos han sido cifrados y “secuestrados”… Puede parecer el principio de un relato de terror, sin embargo, desde hace bastantes años es una tónica bastante habitual hablar de ataques ransomware y este relato de terror puede ser muy real para muchas empresas.

Todo el mundo habla de ransomware desde la irrupción de WannaCry. Sin embargo, los ataques ransom no son nuevos ni mucho menos ya que el primer ransomware catalogado como tal fue hace exactamente 30 años. El primer ransomware fue AIDS, considerado un troyano. Camuflado en un programa aparentemente inofensivo, comenzaba a realizar acciones maliciosas pasados unos días y su vector de infección eran disquetes flexibles enviados por correo postal.  Para recuperarse de AIDS era necesario un disco de arranque y ejecutar una recuperación. Hoy en día no es tan sencillo y por esa misma razón el ransomware se ha convertido en una amenaza muy seria.

¿Ransomware? Tranquilidad, no todo está perdido

Primero de todo, si has sido infectado por un ransomware piensa que es muy probable que la información local ya se haya perdido. No, pagar el secuestro no te asegura volver a tener la información porque si el ransomware no ha sido capaz de mandar la clave de desbloqueo al C&C (Centro de control del malware) va a ser imposible recuperar esa información por este medio. Además, pagar el rescate solo consigue generar más beneficios a ciberdelincuentes que ven cada día más rentable este tipo de prácticas.

Nosotros nunca te vamos a recomendar seguir las indicaciones del ransom para recuperar la información, por esa misma razón, consideramos que la primera herramienta de recuperación de ransomware es recuperar los datos desde un backup actualizado. De este modo, la pérdida de información quedará reducida al espacio de tiempo entre el backup y el tiempo de funcionamiento hasta el momento de la infección.

¿No hay Backup? Bueno, tenemos (una pequeña) esperanza aún. Existe desde 2016 un proyecto llamado “No más ransomware” que promueve no solo mejores prácticas para evitar un ataque ransom, sino un listado de herramientas desarrolladas por diferentes fabricantes para descifrar la información aprovechando algún bug del malware o porque el creador del ransomware ha puesto pública la clave maestra de desbloqueo. Ciertamente, el número de herramientas es reducido pero puede que sea la última opción para evitar dar por perdida nuestra información.

Es posible recuperar un ransomware sin necesidad de respaldo en los siguientes casos:

  • Los autores de malware realizaron errores de implementación, haciendo posible romper el cifrado. Éste fue el caso del ransomware Petya y CryptXXX.
  • Los autores de malware se sienten culpables por sus acciones y publican las claves, o una clave maestra, como en el caso de TeslaCrypt.
  • La policía captura servidores con claves y las comparten. Un ejemplo es CoinVault.

Como hemos dicho, a veces pagar el rescate también funciona, pero no existe garantía de que realizar el pago permita descifrar tus archivos. Recuerda, con esta acción estás apoyando el modelo de negocio de los criminales y, en consecuencia, estás cooperando para que más gente se esté infectando con ransomware.

¿Cómo evitar una infección de ransomware de nuevo?

Desde Velorcios os recomendamos Sophos Intercept X ¿Por qué?

  • Intercept X combina la protección contra malware y exploits mejor valorada del mercado con la detección y respuesta para endpoints (EDR) integradas.
  • La inteligencia artificial integrada en Intercept X es una red neuronal de Deep Learning, una forma avanzada de Machine Learning que detecta el malware tanto conocido como desconocido sin necesidad de firmas.

Desde Velorcios os recomendamos Sophos Intercept X, ya que combina la protección contra malware y exploits mejor valorada del mercado con la detección y respuesta para endpoints (EDR) integradas.

Velorcios CTA guia anti-ransomware