Hasta el momento en esta serie hemos hablado de cómo protegerse de obtener (o propagar) ransomware y otros programas maliciosos a través de los diversos vectores de amenazas. Ahora vamos a echar un vistazo a qué hacer si ransomware penetra a través de sus múltiples capas de seguridad y realmente infecta su red.

En primer lugar, vamos a hablar de lo que no quiere hacer, que es pagar el rescate. Varias cosas pueden suceder cuando usted trata con los criminales:

1.- Es posible que no liberen sus datos. No hay ninguna garantía de que usted será capaz de descifrar sus datos sólo porque usted ha pagado el rescate.

2.-Usted podría ser blanco en futuros ataques, y las cantidades de rescate serán cada vez mayores. Los criminales ahora saben que están dispuestos a pagar, y ellos lo castigarán por no ‘aprender su lección’ la primera vez.

3.-Usted contribuye al éxito de los delincuentes, y los anima a continuar propagando ransomware.

No quieres pagar el rescate, ¿qué debes hacer?

Ponga en cuarentena el sistema y proteja lo que pueda: detenga la propagación del ransomware lo más rápido posible. Desenchufe la PC infectada de la red, desconecte los recursos compartidos de red, desenchufe las unidades USB, etc

Evalúe el daño: Exactamente qué fue encriptado? ¿Cuántos sistemas fueron afectados? ¿Está limitado a un sistema, o se extendió a través de la red? ¿Existen múltiples fuentes de infección?

Identificar el tipo de ransomware: Los procedimientos para eliminar el ransomware y descifrar sus archivos dependerá de qué tipo de ransomware sea. Hay herramientas (Y más herramientas) y la información en línea para ayudarte en este proceso.

Eliminar el malware: Antivirus, herramientas de eliminación de software malicioso y reparaciones manuales pueden ser necesarias aquí. Si usted ha tenido la suerte de minimizar el brote, esto podría no tomar mucho tiempo. También debería considerar ejecutar exploraciones adicionales para ver si hay algo escondido en su red.

Descifrar sus archivos: Si el ransomware tiene una herramienta de desencriptación, puede encontrarla aquí. Puede usar esto para descifrar sus archivos sin pagar el rescate.

Restauración mediante herramientas de recuperación de desastres: se pueden utilizar copias de seguridad regulares, copias de volúmenes de sombra, imágenes de restauración del sistema y otras herramientas de protección de datos para restaurar los archivos que no se pueden descifrar. También puede ser necesario utilizar estas herramientas para asegurarse de que el sistema infectado se ha restaurado a una imagen limpia.

Investigue la causa: los datos están disponibles y sus sistemas están funcionando, pero aún no ha terminado. Ahora usted necesita estar seguro de que usted sabe exactamente cómo este ransomware infectó su red. Es posible que tenga que interrogar a los usuarios, examinar los registros del sistema y ejecutar exploraciones en servidores u otros sistemas que no parecen estar afectados por el incidente. Hasta que no sepa cómo se infectaron sus sistemas, no puede estar seguro de que no sucederá de esa manera otra vez.

Prevenir futuras infecciones: Al identificar la causa y la fuente de infección, tome medidas para defender esa superficie de ataque. ¿Fue un adjunto de correo electrónico detonado por un usuario? Puede que tenga que cambiar o actualizar sus defensas de correo electrónico para que los archivos adjuntos sospechosos se detonen en un entorno limitado. ¿Fue un sistema infectado por una descarga de unidad? Es posible que necesite una mejor herramienta de filtrado de contenido web para evitar ese tipo de ataque. ¿Un usuario descuidado intentó instalar un archivo malicioso, pensando que era una aplicación gratuita? Puede ser el momento de actualizar o reforzar su entrenamiento  de usuarios.

Compruebe la recuperación de desastres DRP: una vez que haya completado la eliminación, la restauración y la investigación, es hora de asegurarse de que sus herramientas de recuperación de desastres estén nuevamente instaladas y configuradas correctamente. ¿Mudó algún dato crítico? ¿Ha cambiado algo durante su proceso de recuperación? Aquí es donde usted se asegura de que su sistema de respaldos  de seguridad sigue haciendo copias de las cosas correctas. Si tuviera que traer su sitio de almacenamiento fuera de sitio para la recuperación, es hora de volver a configurarlo y llevarlo fuera de sitio de nuevo.

Piense en el siguiente ataque: Probablemente aprendiste algunas cosas durante el incidente. Sus copias de seguridad no están bien organizadas, sus usuarios no reconocen el comportamiento en línea riesgoso o su antivirus está configurado incorrectamente y es demasiado lento o no lo suficientemente completo. Ahora es el momento de pensar en soluciones para cualquier problema que haya encontrado, y de caminar mentalmente por lo que podría hacer mejor si esto sucediera de nuevo. Desde allí se puede desarrollar un plan para abordar cualquier cosa que necesita ser cambiado.

Por supuesto, los pasos anteriores son sólo un marco para ayudar a mantenerlo en el buen camino. Es fácil ser abrumado cuando ocurre un desastre, y usted quiere tener una idea de qué pasos tomar antes de que suceda. Todo esto supone que ya está realizando las mejores prácticas básicas: antivirus y anti-malware actualizados, copias de seguridad actuales, protección robusta de correo electrónico y buen conocimiento y documentación de su infraestructura de red. Si usted no tiene esto en su lugar, usted debe comenzar a trabajar en ello tan pronto como sea posible.

Si usted está infectado por ransomware, usted puede encontrarse en una posición donde es mejor pagar el ransomware. O bien no tiene copias de seguridad, no tiene la experiencia para descifrar el ransomware, o es sólo un pequeño rescate que está dispuesto a asumir el riesgo. Esa es una elección que cada víctima tiene que hacer por sí mismo. Lo importante para usted es tomar las medidas adecuadas para prevenir ser infectado otra vez.

Fuente: SLAWEK LIGIER – Barracuda Networks

Para obtener más información sobre ransomware, visite nuestro sitio corporativo de ransomware aquí y NoMoreRansom aquí.