Después de verse afectadas importantes empresas en un ataque a escala mundial que ha tenido como protagonistas a 76 países, conviene recordar algunas medidas necesarias para evitar que nuestro equipo se vea afectado por un ransomware. Dada la naturaleza y el funcionamiento de esta amenaza, conviene prevenir la infección, ya que una vez realizada, es probable que cierta pérdida de información sea algo que se tenga que asumir.
Conviene recordar en primer lugar cuál es el modus operandi habitual de estas amenazas. En primer lugar, llega al equipo de la mano de algún programa falso o legítimo que se ha visto modificado. Posteriormente, una vez el usuario ha ejecutado la instalación de forma paralela adquiere persistencia en el sistema y comienza con el cifrado de la información. En cuestión de unos minutos, el 80% de la información almacenada se habrá visto afectada por el cifrado. Las amenazas «caseras», almacenan la clave de descifrado en el propio equipo. Estas son las que permiten la recuperación de la información a través de herramientas. Sin embargo, por norma general, esta información se envía a un servidor remoto junto con el ID del equipo infectado.
¿Cómo evitar que nuestro equipo se infecte?
En primer lugar, alejarse de la descarga de aplicaciones desde sitios web de dudosa procedencia. También hay que prestar atención a los adjuntos existentes en correos electrónicos.
A la hora de navegar a través de páginas web, siempre hay que cerciorarse de que nos encontramos en la página adecuada. Es decir, observar la barra de direcciones y prestar atención a la URL.
La presencia de una herramienta de seguridad actualizada también puede evitar la instalación de los ransomware, bloquear su actividad y proceder a su eliminación.
Si el ransomware se ha instalado y cifrado la información, ¿cómo debo actuar?
Sin lugar a dudas, es el peor caso que se puede dar. Es decir, la amenaza se ha ejecutado y ha cifrado los archivos existentes en el equipo total o parcialmente. Llegados a este punto, existen dos opciones en función de los medios disponibles:
Si dispones de una copia de seguridad del sistema y de los archivos afectados, la mejor opción es sin lugar a dudas optar por el formateo del equipo y recurrir a copias de seguridad, o bien restaurar el equipo a una versión anterior y recurrir igualmente a copias de seguridad.
Si no se dispone de copias de seguridad, se puede optar por recurrir a algún programa que permita el descifrado de los archivos, aunque esto no siempre es posible.
Hay que destacar, que si existen carpetas de red compartidas por otros equipos de la misma LAN es probable que estén afectadas. Por ese motivo, es necesario actuar con rapidez y aislar el equipo afectado, evitando de esta forma posibles propagaciones.
Por norma general, estas amenazas están diseñadas para un solo sistema operativo, de ahí que no exista compatibilidad cruzadas con varios sistemas operativos. A donde queremos llegar, es que si un dispositivo Windows se ve afectado y hay equipos Android y Linux en la misma red, la posibilidad de verse afectados es prácticamente nula.
Conviene destacar que la mejor opción nunca será realizar el pago. El abono de la cantidad solicitada al monedero Bitcoin indicado no siempre es sinónimo de éxito. Es decir, muchos usuarios realizan el pago, pero los ciberdelincuentes no envían la contraseña. Finalmente, el usuario pierde la cantidad abonada y los archivos.
Como resumen, indicar que en el caso de estas infecciones es mejor prevenir, y en caso de disponer de un equipo infectado lo mejor es no realizar el pago de la cantidad, recurriendo a copias de seguridad para recuperar los archivos.
En otro artículo hablamos de Fission, una función para aislar sitios en Firefox.