Cómo actuar cuando de pronto aparece en la pantalla de la computadora el mensaje de que ha sido bloqueada y no se puede acceder a los archivos de trabajo y personales.
El primer instinto es verificar archivo por archivo, aunque con unos cuantas advertencias de que no se puede abrir o es inválido sólo resta la perplejidad del usuario ante la impotencia de saber qué hacer o cómo recuperar esos archivos ahora cifrados por el ransomware y para lo cual ya se exige el pago de dinero por su rescate.
Reaccionar ante un ataque de ransomware tiene sólo dos opciones: pagar la extorsión esperando que el atacante cumpla con la entrega de la llave para el desbloqueo de los archivos o recuperar la información a partir del respaldo más reciente. Si no se cuenta con un respaldo reciente el asunto se complica. Si el respaldo no es tan reciente entonces habrá que considerar lo que se tiene que hacer y el tiempo necesario para actualizar la información.
Fabian Wosar, investigador de seguridad de Emsisoft, apunta que “muchos de los instintos naturales que normalmente son correctos cuando se trata de infecciones de malware, pueden empeorar las cosas cuando se trata de ransomware.
¿Qué hacer entonces ante la infección por ransomware? Los expertos de Emsisoft recomiendan:
- Crear una imagen del sistema. Es hacer una copia de seguridad de los archivos cifrados antes de cualquier otra cosa. Esto ayuda a evitar que variantes del ransomware puedan eliminar y sobrescribir los archivos cifrados después de cierto tiempo.
- Deshabilitar software de optimización y limpieza del sistema. Estas herramientas -como CCleaner, CleanMaster, Advanced SystemCare, Registry Cleaner, System Mechanic, entre otras- típicamente limpian carpetas temporales del sistema, en donde también se almacenan las variantes del ransomware y otros archivos de infección -necesarios para determinar el ransomware que ha afectado al equipo, por lo que no es conveniente tener ejecutando las herramientas, más cuando se ha configurado la optimización y limpieza automática.ediatamente.
- Poner en cuarentena los archivos de infección, no eliminarlos. Estos archivos maliciosos son necesarios para determinar qué ransomware infectó al equipo y desarrollar la solución o descifrador. Ayudan para identificar el método de cifrado utilizado por el ransomware y si tiene características coincidentes de ransomware conocido.
- identificar, para sistemas servidor, el punto de entrada y cerrarlo. El ransomware accede al servidor por ataque de fuerza bruta a las contraseñas de usuario, a través de Remote Desktop Protocol (RDP). Verificar en la bitácora de eventos si hay un gran número de intentos de inicio de sesión en rápida sucesión o si está vacía la bitácora, lo que significa el hackeo del servidor a través de RDP. Es crucial cambiar todas las contraseñas de las cuentas de usuario inmediatamente y deshabilitar RDP si es posible o al menos cambiar el puerto. Verificar todas las cuentas de usuario en el servidor para asegurarse de que los atacantes no crearon cuentas de puerta trasera para acceder al sistema posteriormente.
- Identificar el tipo de ransomware. Puede usar el servicio gratuito de MalwareHunterTeam o VirusTotal para identificar qué ransomware infectó al sistema. Saber el ransomware con que se está tratando hace más fácil averiguar si está disponible el descifrador de los archivos afectados por el ransomware.
- Usar el descifrador disponible. Hay descifradores disponibles para algunos ransomwares, como el de Emsisoft. Sólo siga las instrucciones indicadas para su ejecución. Si no hay descifrador disponible se puede contactar a fabricantes de soluciones anti-malware para la posibilidad de trabajar en el descifrador.