A dia de hoy los virus encriptadores de ficheros o Ransomware son el principal dolor de cabeza de los administradores de sistemas corporativos. El motivo es simple, estos códigos maliciosos pueden encriptar todos los documentos ofimáticos (word, excel…), imágenes, pdfs, etc, no solamente del equipo infectado sino también todos los ficheros de la red a los que este equipo tenga acceso de lectura y borrado, es decir los ficheros alojados en el servidor de ficheros.
¿Se da cuenta el usuario de que se están encriptando los ficheros?
Pues normalmente no hasta que ya es demasiado tarde. Los ransomware no tienen ningún tipo de síntoma o interfície visual mientras están encriptando, sólo son perceptibles porque el equipo va un poco mas lento de lo normal y el led del disco duro se queda prácticamente encendido.
¿Cómo llegan los cryptovirus a infectar un equipo?
El método mas común suele ser un falso email procedente de alguna empresa conocida o incluso con la que el usuario trabaja habitualmente. Las más habituales son compañías de paqueteria como UPS o Correos, y compañías de energía como Endesa. Aunque también existe la posibilidad de ser infectado a través de un pendrive o alguna descarga fraudulenta a partir de un enlace en alguna página web o red social.
¿Cómo podemos protegernos?
La primera recomendación es tener un buen sistema de copias de seguridad, copias externas fuera del alcance del encriptador y que nos permita disponer de varios días de histórico de ficheros, (ya que podemos no darnos cuenta del encriptado hasta varios días mas tarde). Desde Cint Consulting os recomendamos nuestro servicio de Backup Online. También recomendamos activar las instantáneas de volumen para disponer de las versiones anteriores de los ficheros, aunque las últimas versiones de cryptovirus las inactivan y las inutilizan completamente.
Nuestra siguiente recomendación es instalar Kaspersky endpoint 10 en todas las estaciones de trabajo y Kaspersky for Windows Server en el servidor windows de ficheros. La protección de la estación de trabajo protege la infección del equipo mediante 2 métodos: Las firmas de los módulos de antivirus de Internet y ficheros (actualizaciones clásicas del antivirus) y la KSN (Kaspersky Security Network) que es un servicio de consulta a tiempo real de la reputación del fichero entre la comunidad de usuarios de la KSN. Si a pesar de todo, el malware consiguiera ejecutarse, lograría finalmente encriptar los ficheros del equipo pero no los del servidor, ya que muy posiblemente el módulo Anticryptor del Kaspersky for Windows Servers bloquearía al equipo atacante impidiéndole acceder al servidor.
Si me acabo de dar cuenta de que estoy infectado, ¿Qué debo hacer?
1.- Apaga el equipo a la máxima velocidad posible, es decir desconéctalo de la alimentación.
3.- Desconecta todos los cables del equipo, abre el equipo extrae el disco duro y conéctalo con un lector de discos USB a otro equipo que disponga de Kaspersky EndPoint 10 y lanza un análisis personalizado contra la unidad infectada. (Este proceso nos puede ayudar a desinfectar el equipo y/o identificar exactamente el malware atacante)
4.- Copia todos los ficheros (encriptados y los no encriptados) en una otra unidad USB externa a modo de copia de seguridad, (puedes enviar esta copia a alguna empresa de expertos que pueda tratar de desencriptar los ficheros o bien manda el equipo original completo).
¿Puedo desencriptar mis ficheros de algún modo?
Normalmente no, si que existen herramientas de desencriptado (tanto de Kaspersky como de otros fabricantes) pero suelen funcionar con versiones del malware muy concretas o antiguas y es improbable que estemos infectados con ellas. Es decir, lo que suele ocurrir en la mayoría de los casos es que usuario es infectado con la última versión del virus y no existe una herramienta de desencriptado en ese momento del tiempo.
