Una implementación de Ransomware ha conseguido actuar en tu organización y el desastre ya es una realidad. Y ahora… ¿Qué hacer?

Lo primero es frenar la propagación, aislar los equipos infectados y anular los accesos temporalmente a los usuarios afectados y que han provocado el incidente. Después, actualizar la protección antivirus, el antispam y otras herramientas de seguridad similares que se tengas instaladas. Si aún no existen firmas actualizadas para la variante concreta de Ransomware que ha actuado, hay que hacer medidas paliativas para evitar nuevos contagios en otros usuarios: mensajes de aviso y concienciación, incluir reglas manuales en el antispam, en los firewalls y revisar la configuración del antivirus a ver si es posible incluir algún archivo en listas negras o aumentar la fortaleza en algún aspecto.

Incluso un “truco sucio” puede resultar útil si se detecta un equipo infectado y en ese momento se percibe que el virus está actuando: apagarlo bruscamente. Así, se evitan que el software malicioso siga su actividad y continúe cifrando más archivos.

Pero después llega el momento de afrontar la dura situación y hay que pensar en una solución para los archivos cifrados… Y una “solución” es pagar el rescate. Dado que muchos de estos ataques están pensados para usuarios particulares, las cantidades que se piden no son muy altas y para una organización puede ser tentador pagar 200 o 300 € a cambio de rescatar sus documentos. Pero, ante esto ¿cuál es el problema?

Razones éticas al margen, el problema es que los delincuentes son poco de fiar y según parece ser, en la mayoría de los casos no cumplen su palabra y no entregan la clave para realizar el descifrado. Por lo tanto no es una buena opción y es mejor descartarla totalmente (o al menos dejarla como última alternativa, a la desesperada, si todo lo demás ha fallado).

La mejor opción, sin lugar a dudas, es contar con copias de respaldo fiables y proceder a la recuperación. Es la solución definitiva y la única con garantías.

Pero si no se tienen copias o las restauraciones fallan, hay que intentar otras estrategias, que tendrán más o menos éxito según la variante de Ransomware que ha afectado a nuestra organización.

Las compañías FireEye y Fox-It crearon una herramienta que es efectiva en algunas variantes de la serie Cryptolocker y que está disponible en: http://www.decryptcryptolocker.com

Para la variante Cryptodefense Emisoft creo la herramienta Decrypter: http://emsisoft.com

Para TorrentLocker, Bleepingcomputer creo TorrentUnlocker, que sólo es útil en las primeras versiones del virus. Y Trend Micro ofrece AntiRansomware Tool, que es efectivo en algunas infecciones de la variante de Correos (que está directamente emparentado con TorrentLocker).

Para Zerolocker la empresa Vinsula creo UnlockZeroLocker: http://vinsula.com/security-tools/unlock-zerolocker

Karspersky tiene una página web dedicada a Ransomware, que incluye una base de datos con claves de descifrado, la aplicación Decryptor, útil en algunos casos, e información: https://noransom.kaspersky.com

Para otros casos, se pueden probar a utilizar herramientas de análisis forense, como Ontrack EasyRecovery o ForensicsWiki, usándolas tras arrancar con un «live CD», para tratar de encontrar la clave de descifrado. Si bien hay que tener en cuenta que, llegado a este punto, existen muy pocas posibilidades de tener éxito y encontrar una forma de deshacer el entuerto.

Justo en este momento, si todo ha fallado, ha llegado la hora de pedir ayuda externa, plantearse denunciar o incluso valorar, con mucho cuidado, ceder al chantaje y pagar el rescate que piden los delincuentes, a ver si hay suerte, cumplen y se logra recuperar los archivos.

Lectura recomendada: guía detallada del CCN

El Centro Criptológico Nacional tiene una excelente guía sobre Ransomware, que incluye información detallada de muchas de las variantes, con posibles soluciones para cada una de ellas (aunque señala que en algunos casos no se ha encontrado ninguna solución posible).

La guía se llama “Informe de Amenazas CCN-CERT IA-21/14 – Medidas de seguridad contra Ransomware”, es de acceso público y está disponible en: https://www.ccn-cert.cni.es/publico/dmpublidocuments/CCN-CERT_IA-21-14_Ransomware.pdf

Entregas de la serie de artículos sobre Ransomware:

– “Ransomware, parte I – El negocio del secuestro digital“.

– “Ransomware, parte II – Contagio y prevención”.

– “Ransomware, parte III – Principales variantes”.

– “Ransomware, parte IV – Estrategias y técnicas para afrontar situaciones de desastre”.

Post By Florián Manuel Pérez Sánchez (64 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

Ransomware