Blog

Cómo intentar recuperarse de un ataque de ransomware

Cómo intentar recuperarse de un ataque de ransomware

Cuando se trata de recuperarse de un ataque de ransomware, no hay garantías de que podremos restaurar todos los datos secuestrados mediante cifrado. Sin embargo, es absolutamente necesario contener su propagación, y eliminar el malware subyacente lo antes posible.

Qué hacer después de un ataque de ransomware

Lo más importante es no pagar el rescate.

Estamos tratando con sinvergüenzas, por lo tanto, el pago del rescate no garantiza que los atacantes desbloqueen el sistema, o descifren los datos como prometieron.

Y además de financiar las actividades de esos indeseables, nos verán como un blanco fácil para futuros ataques.

Aislar el ataque

El primer paso es aislar el ordenador infectado de otros dispositivos conectados a la misma red. 

Desactiva la conexión wifi, y Bluetooth, y desconecta la máquina de cualquier red de área local (LAN) o dispositivo de almacenamiento al que pueda estar conectada.

Esto no solo contiene la propagación, sino que también evita que el ransomware se comunique con sus perpetradores.

Identificar el tipo de ransomware

  • ¿Qué estábamos haciendo antes del incidente?
  • ¿Hemos abierto un archivo adjunto a un correo electrónico?
  • ¿Hemos ejecutado un archivo descargado recientemente?
  • ¿O quizás pulsado en un anuncio o ventana emergente?
  • ¿Acabamos de visitar cierta página web?
  • ¿Hemos insertado una memoria USB?

Si logramos determinar el tipo de ransomware, podremos saber exactamente cómo se ven afectados nuestros archivos (es decir, si están cifrados o bloqueados) y evaluar la importancia de los datos secuestrados.

  • Ransomware sin cifrado o pantallas de bloqueo, que restringen el acceso a archivos y datos, pero no los cifra.
  • Ransomware que cifra el registro de arranque maestro (MBR) de una unidad o NTFS lo que evita que el sistema operativo se inicie.
  • Leakware que aparte de cifrar, también roba datos para seguidamente amenazar con hacerlos públicos si no se paga un rescate. 
  • Ransomware para dispositivos móviles que los infecta mediante descargas no autorizadas o aplicaciones falsas.

También a qué tipos de archivos suele atacar y qué opciones, (si las hubiera) tenemos para su eliminación y desinfección.

Así como hay villanos que propagan ransomware, también existen tipos buenos que nos ayudarán a combatirlo. 

Sitios como ID Ransomware y No More Ransom pueden ayudarnos a identificar la cepa con la que estamos lidiando.

También ofrecen herramientas gratuitas de descifrado, e instrucciones en español.

Si bien a veces es posible eliminar una infección, lamentablemente no existe una solución que funcione para todos los tipos de ransomware conocidos. 

Cada vez que se publica un descifrador, los delincuentes escriben un nuevo ransomware.

En este sentido, puede que no pase mucho tiempo antes de que los atacantes incorporen la inteligencia artificial para automatizar algunas partes del proceso, monitorear los sistemas infectados, o cambiar el código del malware para evitar las contramedidas.

Recuperación

Si no hay herramientas de descifrado disponibles, podemos restaurar los datos cifrados desde una copia de seguridad alojada en un medio extraíble, o en la nube.

Reinstalar Windows desde cero, eliminará todo lo que guardamos en el dispositivo, pero también acabará con el infame ransomware.   

Si hemos seguido una buena política de copia de seguridad, una vez que hayamos reinstalado el sistema operativo, deberíamos poder restaurar nuestros archivos más importantes.

El proceso de recuperación puede tardar un poco, pero la mayoría de los datos se restaurarán.

Eliminar el ransomware

Si no tenemos una copia de seguridad, pero tuvimos suerte y fue posible descifrar los datos secuestrados, a continuación, debemos eliminar el ransomware del dispositivo.

Esto es esencial para asegurarnos de que los atacantes no podrán volver a cifrarlos.

Podemos utilizar software antivirus para escanear el ordenador e identificar cualquier archivo infectado.

Muchos tipos de ransomware generalmente se eliminan después de hacer su trabajo, dejando solo los archivos con las instrucciones de pago. 

Pero no siempre es así.

Mientras que algunos ataques, de ransomware, son «ruidosos», la persistencia permite a los atacantes permanecer ocultos, a menos que sepamos donde buscar.

También existe ransomware que no solo ataca archivos individuales, sino que cifra todo el sistema.

En este caso, recibiremos una nota de rescate directamente en la pantalla de inicio, lo que nos impedirá acceder a otros programas, incluido el software de seguridad. 

Una forma de intentar eliminar el ransomware es utilizar el modo seguro sin funciones de red.

Cuando iniciamos el dispositivo en modo seguro, el malware no se cargará junto al sistema operativo, lo que facilitará en gran medida su eliminación.

¿Restauración del sistema?

Si bien puede resultar tentador confiar únicamente en un punto de restauración del sistema creado en una fecha anterior a la infección, no es la mejor solución para eliminar el ransomware responsable del problema inicial.

Desafortunadamente, hemos de tener en cuenta que es posible que el ransomware haya estado inactivo antes de activarse e iniciar modificaciones significativas, y, por lo tanto, ignoramos la fecha exacta de la infección.

También es muy probable que los respaldos estén cifrados junto con el resto de los datos.

Evaluación

Si hemos conseguido deshacernos del problema, ahora toca evaluar lo sucedido.

  • ¿Cómo pudo colarse el ransomware?
  • ¿Qué vulnerabilidades hicieron posible la penetración? 
  • ¿Por qué falló el antivirus o el filtrado de correo electrónico?
  • ¿Hasta dónde se propagó la infección?
  • ¿Fue posible restaurar los archivos desde una copia de seguridad?

Abordar y reconocer nuestros puntos débiles nos servirá para estar mejor preparado para el próximo ataque.

Prevención

El mejor momento para prepararse para una tormenta es antes de que llegue

Un ataque de ransomware puede ser devastador, tanto para un hogar como para una empresa.

Se pueden perder archivos valiosos e irremplazables, y tener que dedicar muchas horas de esfuerzo, para deshacerse de la infección.

Si no tenemos costumbre de hacerlo, hay que empezar a plantearnos realizar copias de seguridad de los datos con cierta regularidad, en un disco duro externo, en la nube, o en ambos, para aumentar su resiliencia.

No son la panacea, pero nos ahorrará muchos dolores de cabeza si somos víctimas de un ataque de este tipo.

Independientemente del medio escogido, es esencial estar seguro de que se hayan almacenado los datos correctamente.

Una vez que volvamos a tener control del dispositivo, deberemos cambiar todas las contraseñas guardadas en el navegador web o en otro lugar. 

Muchos tipos de ransomware, aparte de cifrar archivos, también son capaces de robar información almacenada en el sistema.

Y no olvides que Windows 10 y Windows 11 ofrecen una función de acceso controlado a carpetas para protegerlas contra ataques de ransomware.

Si algo intenta modificar un archivo y no tiene permiso, recibirás una notificación y se bloqueará el acceso.

Temas:

Avisos de seguridad

Archivos del blog

Otros artículos

Qué es Typosquatting y cómo lo utilizan los estafadores
dispositivos de vigilancia para bebés
¿Son realmente necesarias herramientas de terceros para acelerar y optimizar Windows?
Que es un ataque de denegación de servicio distribuido
Thunderbird: un cliente de correo de los creadores de Firefox
Protege tu información de identificación personal (PII)
Microsoft añadira Adobe Acrobat PDF a su navegador Edge