Guía de prevención y detección de Ransomware

---

 

¿Qué es un Ransomware?

Un Ransomware es una amenaza cibernética que atenta contra la información de su víctima, sucuestrándola de alguna manera y privándole del acceso a sus datos, algunas variantes del Malware emplean técnicas de cifrado de datos, con la finalidad de solicitar un pago al atacante por el “rescate” de la información afectada.

Al día de hoy existen miles de variantes únicas de esta amenaza, las cuales pueden transmitirse de muchas maneras, comunmente es por correo electrónico, el malware puede estar dentro de archivos ejecutables, PDF, Imá- genes Adjuntas y documentos de Office, entre otros. Las viariantes más conocidas son Locky, CryptoLocker, CryptoWall, etc.

Hoy por hoy, Las amenazas Ransomware son Amenazas Avanzadas Persistentes, por lo que se deben que tomar precauciones especiales, conociendo como éste opera y sus limitantes, podemos establecer una estrategia para disminuir de manera sustancial el riesgo de perdida de información.

La probabilidad de recuperar la información una vez afectado por la amenaza es muy baja, por lo que se recomienda realizar respaldos periódicamente de los archivos esenciales en alguna unidad de almacenamiento completamente aislada de la red y cualquier otro medio

Se le atribuyen dos comportamientos principales, de Troyano y Gusano, por lo que el Malware comenzará a actuar bajo ciertas condiciones y éste infectará a los equipos vulnerables cercanos (Servidores, estaciones de trabajo)

Para disminuir el riesgo de infecciones de Ransomware te recomendamos como mínimo tomar las siguientes medidas

Contar con:

• Solución de Protección AntiMalware en perímetro (UTM/NGF).
• Protección AntiMalware empresarial en equipos de usuario y Servidores.
• Controlar los permisos de acceso por medio de Directorio Activo.
• Solución de Administración de Parches de Seguridad.
• Plan de respaldos bien planeado y ejecutado.
• Solución AntiSpam/Antivirus en su Servidor de Correo.
• Instruir a sus usuarios en qué hacer en caso de presentarse un Malware de éste tipo.

 ¿Qué hacer una vez que una maquina se infectó del Malware?:

• Guía de prevención y detección ante Ransomware
• Aislar inmediatamente la maquina de la red cableada e inalámbrica.
• Instalar, actualizar y ejecutar un antivirus de marca reconocida, cabe mencionar que en muchos de los casos no es posible recuperar los archivos pero no está de más intentarlo con la variedad de Malware que nos haya infectado.

 Si la operación fué exitosa:

• Actualice todos las aplicaciones y Sistema Operativo de la maquina.
• Verifique que el usuario de la maquina no esté operando con permisos de Administrador, si es así cambie los permisos del usuario.
• Reintegre la maquina a la red

 Si la operación no fué exitosa

Pruebe con otras herramientas, si aún así no es posible:

• Recupere la información que pueda del equipo.
• Reinstale el OS del equipo.
• Aplique todos los Parches de Seguridad.
• Valide que el usuario no opere con permisos de Administrador.
• Recupere los datos de los respaldos del usuario

 Si requerimos  de niveles de riesgo aún más bajos

• Si queremos un entorno con niveles de riesgo más bajos hay algunas cosas más por hacer: Contar con una Solución que inspeccione en tráfico de la red en busqueda de Malware y ataques (Heurístico/Sandbox/etc), estas soluciones pueden generar alertas automáticas al detectar una amenaza y bloquear el control remoto del equipo (c&c).
• Solución de control de acceso, cifrado y uso de dispositivos de almacenamiento, tales como Memorias USB, discos duros externos, etc.

 

 {{cta(‘6931b3e6-9263-4ab3-ac59-b188e5f0f000’)}}