Seleccionar página

El Ransomware es software malicioso de extorsión que se realiza a través de un malware que se introduce en los equipos de las empresas encriptando la información de la empresa, impidiendo el acceso a la misma y solicitando un rescate a cambio de su liberación. Las pérdidas temporales o permanentes de información, interrumpe la actividad normal, ocasiona pérdidas económicas y daños de reputación.

Estos tipos de delitos está creciendo exponencialmente y pueden producirse en cualquier momento, como el ataque Wanna Cry de la semana pasada, justo cuando Microsoft publicaba un parche para un posible ataque zero-day que había descubierto.

 

Recomendaciones

Tener un plan de seguridad es una de las operaciones que deben estar realizadas por parte de los administradores TI. En el plan de seguridad se marcan las prioridades y responsabilidades que se deben tomar. También los recursos de los que disponemos y por ello, el plan de seguridad debe contar con el compromiso de la dirección de la empresa. No sólo debemos de planificar, también formar. Cuando hablamos de seguridad solemos olvidar la parte más vulnerable de la cadena, los usuarios. Éstos tienen gestionan la información de la empresa y por ello debemos formarles en seguridad y concienciarles de los peligros.

Existen varias maneras de evitar un ataque, y aunque ninguna es infalible, sí que podemos estar lo más prevenidos posible realizando algunas de las medidas más importantes como son:

– Realizar periódicamente copias de seguridad en la nube.

– Navegar seguros cifrando las comunicaciones y actualizando los navegadores.

– Actualización de los sistemas de manera automatizada y centralizada.

– Herramientas de control perimetral como cortafuegos y detectores de intrusiones.

– Correo electrónico con filtros antispam.

– Revisión de los logs de los sistemas y escaneos frecuentes.

 

En caso de ser atacado

Lo primero que debemos hacer es saber si estamos infectados. Si hemos sido infectados, por supuesto que no vamos a pagar ningún rescate, porque nada garantiza que se puedan recuperar.

Lo que debemos hacer en caso de ataque:

– Ver en el Administrador de tareas si hay un proceso corriendo llamado tasksche.exe.

Este proceso deja como rastro un fichero en el directorio raíz:

C:\Windows\tasksche.exe. En el caso de que exista significará que el PC está infectado.

– Buscar en la unidad C:\ del PC si hay algún fichero encriptado, buscando *.wncry

– Si el equipo está comprometido, no conectarlo a la red.

– Si no existe esta carpeta no podemos asegurar que el equipo no esté comprometido por lo que es necesario realizar un escaneo completo del equipo con un antivirus completamente actualizado.

Respecto al ataque Wannacry se recomienda aplicar los últimos parches de seguridad publicados por Microsoft.

Si no es posible aplicar los parches de seguridad, se debería:

– Aislar de la red los equipos infectados.

– Desactivar el servicio SMBv1.

– Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.