Prevención de encriptado por virus ransomware

GUIA DE SOLUCIONES PARA LA RECUPERACIÓN Y PREVENCIÓN DE ENCRIPTADO

Mucho ha llovido desde mi última entrada en el blog, sobre la lacra que suponía el virus Cryptolocker que cifraba toda la información de nuestros equipos, para pedir un rescate a cambio de una hipotética recuperación de los datos.

Si bien, por aquel entonces nuestra empresa era capaz de recuperar la información del 99% de los clientes que nos llamaban, lamentablemente a día de hoy, ese ratio es inferior a un 40% debido a que actualmente existen nuevas versiones y diferentes tipos de virus de encriptado, que se dedican igualmente a extorsionar a sus víctimas. Nuevos ataques, con nuevos nombres: Teslacrypt, Cryptowall, CoinVault, Locky, CTB-Locket, y otros, sumándose además diferentes versiones, en cada uno –3.0, 4.0, etc.- que ha ido mermando la eficacia de los laboratorios especializados en conseguir la «vacuna» que permitía recuperar nuestra información.

Ha sido curioso observar el modus operandi en su sistema de difusión, viendo cómo la mayor cantidad de ataques o envíos masivos de falsos emails eran realizados justo durante puentes y fines de semana. Supongo que con el objetivo de aprovechar mejor el posible descuido postvacional que a los usuarios se presupone.

Respecto al contenido del email, no parecen haber evolucionado mucho, siendo su principal plantilla, el típico mensaje de Correos de España, indicando que tenemos un paquete y que pinchemos en el enlace correspondiente si queremos evitar el recargo. Supongo que el motivo de seguir exprimiendo este recurso es porque les sigue funcionando muy bien. A pesar de las noticias, blogs, noticias de TV, etc. que se promulgaron desde su aparición, aún hay muchos usuarios bastante ingenuos que «pican» fácilmente y crean, sin querer, un grave problema a ellos mismos y a su empresa.

Ventana de rescate encriptado Locky

 5 TÉCNICAS INFALIBLES PARA RECUPERAR LA INFORMACIÓN

A día de hoy, estas son las mejores opciones que nos permitirán evitar o conseguir recuperar la información en caso de ataque:

• Concienciación a los usuarios: No está de más recordar a los empleados o compañeros, que se extremen la precaución a la hora de abrir emails, sobretodo de gente o empresas desconocidas. Una buena y detallada lectura del contenido nos ayudaría a ver que la expresión en castellano tiene errores ortográficos y gramaticales que evidencian un origen extraño.
• Backup online de los datos importantes: Tener backup diario y online, de nuestros datos más importantes (base de datos de nuestro ERP, buzones de correo y documentos de office), con capacidad de recuperar versiones de hasta 7 o 14 días atrás, sería más que suficiente para recuperar integramente todos los datos, hasta el día anterior. Lamentablemente las copias locales en discos duros internos o externos no están libres de ser encriptadas también, con lo que no son una solución definitiva.
• Instantáneas del sistema operativo servidor: Si tienes en tu servidor Windows 2003, 2008 o 2012, se puede activar esta opción -previamete claro-, que permite mantener versionado de nuestros ficheros o documentos y poder recuperar los originales de cualquier momento anterior previo a la infección.
• Réplicas de servidores: Si disponemos de servidores virtualizados con VMware o Hyper-V, sea en local o en cloud, tienes que saber que se pueden replicar fácilmente -en tiempo real-, cada 15 minutos, en otro servidor local o remoto, y con posibilidad de restauración dentro de las últimas 24h. Esto permite dejar un servidor «como estaba» a un momento anterior en el que sepamos que estaba libre de la infección.
• Réplicas de unidades de almacenamiento: Actualmente varios fabricantes de NAS han incorporado al software de gestión, la posibilidad de virtualizar las unidades lógicas iSCSI para tener réplicas o copias de toda la información que albergan

 ¿Y SI HUBIERA ALGO QUE PUDIESE PARARLO ANTES DE QUE ACTÚE?

Hasta ahora, la respuesta es que no existía antivirus o utilidad alguna que permitiese «parar» el ataque de este software malicioso, debido a la tecnología que utilizan. Sin embargo, desde nuestro departamento técnico, podemos constatar que la nueva versión del antivirus Dr. Web, correctamente instalado y configurado, sí que permite su detección, bloqueo y eliminado definitivo de la amenaza, en cuanto nuestro PC es atacado. Aquí tenéis un test realizado hoy en uno de nuestros equipos de prueba:

Captura de pantalla, con detección y bloqueo de ataque de encriptado.

Evidentemente, no es garantía 100%, pero si es importante la ayuda de un antivirus que sea tan efectivo como sea posible con sus actualizaciones, para evitar estas peligrosas infecciones que tanto evolucionan.

OTRAS ESTAFAS QUE PROMETEN PREVENIR O RECUPERAR INFORMACIÓN

En este punto, me gustaría destacar la circunstancia que algunas empresas han aprovechado para publicar webs donde prometen o indican que disponen de algún tipo de software de prevención o recuperación especializado, que no dejan de ser otro tipo de estafa que aprovecha la debilidad de quien cree poder obtener -pagando- ayuda, inútil e inefectiva.

Es claro, que la última opción es pagar a estos delincuentes, porque no hay garantías de que nos vayan a dar la solución de descifrado, pero es como todo. Si no tenemos nadie que nos pueda ayudar, y de nuestra información depende la continuidad de nuestro negocio, cada uno es libre de intentar lo que crea conveniente. Lamentablemente hemos conocido casos de personas y empresas que han peligrado incluso la continuidad de sus negocios. Es un tema muy grave.

Concluyo, indicando como siempre, que nuestro equipo técnico queda a vuestra disposición para cualquier consulta, aclaración o incluso si es necesario, el uso de nuestro laboratorio para estudiar la posible localización de la solución de recuperación de vuestros datos.

Si deseas saber más sobre nosotros pulsa aquí.