Ataque de ransomware con nota de rescate detectada como troyano por el antivirus
¿Qué ha ocurrido?
Se puso en contacto a través del teléfono 017, del servicio Tu Ayuda en Ciberseguridad, el empleado de una empresa que acababa de ser víctima de un ataque de infección por ransomware.
Nos comentó que se habían encontrado con varias máquinas cifradas por el ataque, de tal forma que no tenían acceso a la información contenida en sus dispositivos y que era vital para el correcto funcionamiento de su empresa.
Además, nos aseguró que las copias de seguridad, que se encontraban disponibles en un NAS, fueron borradas, por lo que no podrían recuperar la información por este método. Por suerte, en esta ocasión no eran las únicas copias que tenían disponibles, ya que disponían también de copias de seguridad en la nube, que pudieron comprobar que estaban operativas.
También nos contó que cuando localizaron la nota de rescate se encontraron que estaba en formato .html y la misma era detectada por el antivirus como un troyano. Por este hecho, la propia herramienta antimalware bloqueaba la misma.
Decidieron ponerse en contacto con nosotros para solicitar asesoramiento ante el incidente que estaban viviendo y ver cuáles eran sus opciones para poder volver a recuperar sus archivos.
¿Qué pautas le hemos dado?
Una vez comprendida la situación, le explicamos que el tipo de ataque que habían sufrido era un ransomware, el cual es un tipo de malware que toma por completo el control de los equipos bloqueándolos o cifrando la información que contienen para, a continuación, pedir dinero a cambio de liberar o descifrar los ficheros del dispositivo.
Además, le facilitamos las siguientes pautas a seguir de forma reactiva:
- No pagar el rescate ni ceder ante ningún tipo de chantaje que puedan sufrir, puesto que esto no asegurará que puedan recuperar sus archivos.
- Aislar los equipos afectados de la red para evitar que la infección se propague.
- Tratar de recuperar los datos mediante las copias de seguridad en la nube, felicitándole por disponer de ellas y en diferentes soportes.
- En caso de no recuperar todos los datos, clonar los discos duros para intentar recuperar los datos desde el clon.
- Desinfectar los discos clonados con una herramienta antimalware actualizada.
- Intentar recuperar los datos perdidos:
- Usar la herramienta Crypto Sheriff.
- Seguir las herramientas y pasos que se indiquen.
- Si no hay una solución, conservar los discos cifrados por si existiese en el futuro.
- En el caso de que se hubiesen visto comprometidos datos de carácter personal o sensible, contactar con la Agencia Española de Protección de Datos para notificar el incidente antes de que pasen 72 horas.
- Recopilar todas las evidencias posibles.
- Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
De forma preventiva:
- Mantener todas las herramientas y sistemas actualizados.
- Hacer copias de seguridad de forma periódica.
- Utilizar el criterio de mínimos privilegios en el control de acceso.
- Diseñar la red bajo los principios de mínima exposición.
- Cifrar las comunicaciones.
- Desactivas las opciones de Autorun y Autoplay en unidades externas.
- Proteger el router y la wifi.
- Configurar medidas de seguridad sobre el correo electrónico.
- Auditar periódicamente los logs.
- Establecer un plan de contingencia y de respuesta ante incidentes.
Para más información, consulta este enlace.
Por último, le indicamos que ante cualquier duda que le pudiera surgir, podía volver a contar con el servicio Tu Ayuda en Ciberseguridad de INCIBE todos los días del año de 8:00 a 23:00.