Qué es el ransomware y cómo recupero mi información
Actualmente, uno de los incidentes de seguridad que más afecta a las empresas es la infección por ransomware, que secuestra nuestra información y pone en peligro la continuidad del negocio. ¿Sabes cómo protegerte y actuar frente a este tipo de incidentes? No te pierdas ningún detalle.
¿Qué es el ransomware?
El ransomware es un tipo de malware que se introduce en los equipos y dispositivos móviles impidiendo el acceso a la información, generalmente cifrándola, y solicitando un rescate (ransom, en inglés) para que vuelva a ser accesible. Después de la infección inicial, el malware intentará propagarse al resto de los sistemas conectados a la red, incluyendo unidades de almacenamiento compartidas.
¿Cómo se produce la infección?
En la mayoría de los casos la infección se produce por:
- Correos electrónicos que utilizan la ingeniería social para que la víctima descargue adjuntos infectados o acceda a un sitio web malicioso a través de un enlace.
- Ataques usando el protocolo de escritorio remoto (RDP), ya sea aprovechando alguna vulnerabilidad en el sistema o con ataques de fuerza bruta.
- Vulnerabilidades de servicios expuestos a internet (FTP, SSH, TELNET, etc.).
- Vulnerabilidades en los sistemas operativos y en navegadores que facilitan la infección al visitar sitios fraudulentos.
- Dispositivos externos infectados que se conectan a los equipos corporativos.
- Por medio de otro malware que previamente ha entrado en nuestro dispositivo, como por ejemplo en el caso de Emotet.
¿Cómo funciona el ransomware?
El ransomware identifica las unidades de un sistema infectado y comienza a cifrar los archivos dentro de cada unidad. Por lo general, el software de rescate añade una extensión a los archivos cifrados, como .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya, para mostrar que los archivos han sido cifrados. La extensión de archivo utilizada es específica para cada tipo de ransomware. El ransomware se manifiesta cuando el dispositivo está infectado y ya no se puede acceder a la información. Una vez que ha cifrado todos los archivos, muestra por pantalla un mensaje que contiene instrucciones sobre cómo pagar el rescate, similar al de la imagen siguiente:
¿Cómo recupero la información? Es necesario saber que no siempre se consigue descifrar los archivos y, por consiguiente, recuperar la información secuestrada. Cada tipo de ransomware tiene sus particularidades y puede que todavía no exista una solución para revertir sus efectos. Por este motivo, es importante que hagas siempre copias de seguridad y compruebes que puedes restaurarlas, ya que es la única forma de garantizar que siempre podrás recuperar tu información y garantizar la continuidad de negocio.
A continuación enumeramos una serie de recomendaciones sobre cómo actuar, según las circunstancias, ante una infección de este tipo.
- Comprueba si existe una solución que permite el descifrado: para ello, podemos contar con el proyecto avalado por la EUROPOL denominado No More Ransom. En esta web puedes consultar si existe una herramienta de descifrado para la variante de ransomware que ha cifrados tus archivos. Si es así, sigue las instrucciones para utilizarlo. Deberás adjuntar un par de ficheros cifrados, así como la nota de rescate dejada por los ciberdelincuentes.
- ¿Tienes una copia de seguridad limpia y reciente?: la copia de seguridad siempre te asegura poder recuperar tu información. Desinfecta los equipos infectados y restaura las copias correspondientes. Recuerda la importancia de hacer backups con la estrategia 3-2-1, cuya base es la diversificación de las copias para garantizar que siempre haya una disponible, de tal manera que podamos con garantías tener alguna de las copias que no haya sido también cifrada por el malware.
- ¿Dispones de Shadow Volume Copy?: si dispones de esta copia de los ficheros que Windows realiza automáticamente, puedes restaurar la información fácilmente utilizando el Shadow Explorer.
- ¿Pueden recuperarse ficheros afectados mediante software forense?: existen soluciones utilizadas para recuperar información en el ámbito forense que en ocasiones pueden recuperar ficheros originales borrados por el ransomware.
- ¿Debes conservar los ficheros cifrados?: si has perdido información porque no tenías copia de seguridad y actualmente no existe ningún software que descifre tus archivos, guárdalos. Puede que en el futuro exista una solución para esa variante de ransomware. En ningún caso el pago del rescate es una opción aconsejada, ya que no existe garantía de recuperar la información de este modo y fomenta el lucro de los ciberdelincuentes.
¿Necesitas ayuda personalizada?
No dudes en consultar a nuestros expertos llamando a la Línea de Ayuda en Ciberseguridad de INCIBE o contactar mediante el formulario. Recibirás la ayuda que precises para solucionar tu caso particular. También puedes reportarlo a través de la dirección de correo , aportando una descripción detallada del incidente. Se recomienda adjuntar una captura de la pantalla con la nota de rescate (ransom note) y dos archivos cifrados por el ransomware. Consulta la pestaña “Necesitas ayuda” de la página Ayuda ransomware para más información.
No pierdas el tiempo, ¡empresario precavido vale por dos! Asegúrate de que haces copias de seguridad, a día de hoy el arma más potente contra el ransomware.
Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.