Qué pasos debes seguir si eres víctima de un ataque de ransomware

Los usuarios de Internet nos enfrentamos a muchos peligros. Los ciberdelincuentes cada vez realizan ataques más sofisticados para hacerse con nuestros datos. Nos vamos a tener que enfrentar a virus, troyanos, gusanos informáticos y ataques de malware de diversa índole. Si queremos estar protegidos debemos tener nuestro sistema operativo actualizado y contar con un buen antivirus. No obstante, en algunas ocasiones nuestros equipos llegan a infectarse. En este artículo vamos a ver qué pasos debes seguir si eres víctima de un ataque de ransomware.

Los ataques de ransomware pueden dejarnos sin nuestros datos, sin nuestro dinero o ambos. Ahora vamos a ver qué es un ataque de este tipo y los pasos que debemos seguir para intentar solucionarlo.

Qué es un ataque de ransomware

Un ataque de ransomware podemos definirlo como un ataque malintencionado que va a dejar nuestros archivos bloqueados o cifrados sin que podamos utilizarlos. Las víctimas van a recibir un mensaje de que si quieren recuperar esos archivos van a tener que pagar un rescate. A menudo para el pago se exige que se utilicen criptomonedas como el Bitcoin para que luego sea más difícil seguir el rastro.

En ese aspecto, suelen utilizar dos tácticas para conseguir su objetivo como son la ingeniería social y el movimiento lateral. En bastantes ocasiones, los ciberdelincuentes pueden organizar un ataque de ransomware con tiempo y ejecutarlo más adelante. Así el ataque real podría ocurrir días después de la infiltración de la red. Un ataque de ransomware puede ser muy perjudicial, pero si se actúa rápido después del ataque se puede reducir una parte del daño.

Pasos que debo seguir si soy víctima

Si ya has sido víctima de un ransomware, ya sea en la red de tu empresa, en tu PC o en tu servidor NAS, debes seguir algunos pasos generales para minimizar el impacto de este ataque tan popular.

Actúa con cabeza y recoge pruebas

Lo primero que hay que hacer es actuar con calma y no precipitarse en realizar acciones de las que luego nos podamos arrepentir más tarde. En ese momento seguramente ya no puedes acceder a muchos archivos importantes en tu ordenador, pero quizás puedas salvar alguno que todavía no se haya cifrado. En ese aspecto no hay que darse prisa en pagar el rescate sin antes analizar la gravedad de la situación en la que nos encontramos.

El segundo paso que debemos hacer es tomar una foto del mensaje del ataque de ransomware utilizando nuestro móvil. También si es posible deberíamos intentar hacer una captura de pantalla del equipo infectado. Esto nos puede ayudar tanto a la hora de presentar una denuncia más adelante como también podrá acelerar el proceso de recuperación.

Aísla los equipos afectados

En un ataque de ransomware es vital aislar los sistemas afectados lo antes posible. El ransomware puede escanear la red de destino y puede propagarse lateralmente a otros sistemas. En este caso lo mejor es separar los equipos de nuestra red afectados para contener, mitigar y detener la propagación del ransomware.

Una cosa que debéis saber es que no siempre es necesario pagar por recuperar los archivos. En algunas páginas web como No More Ransom disponemos de muchas herramientas de descifrado. Una vez que ya hemos averiguado cuál es la cepa de ransomware que ha infectado nuestro ordenador en páginas web como la que acabamos de mencionar ya podemos hacer una búsqueda de la herramienta del descifrado que necesitamos.

Deshabilita las copias de seguridad

Llegado este momento es muy importante proteger nuestras copias de seguridad separándolas del resto de la red. También debemos bloquear el acceso a los sistemas de respaldo hasta que se elimine la infección. Por ejemplo, una buena idea es eliminar todas las sincronizaciones automáticas de nuestras copias de seguridad ya que podríamos sustituir las buenas por otras cifradas. La mayoría de las variedades modernas de un ataque de ransomware después de cifrar los archivos van inmediatamente después a por las copias de seguridad para impedir que podamos recuperar nuestros archivos.

También debemos deshabilitar las tareas de mantenimiento automatizadas, como la eliminación de archivos temporales y la rotación de registros de los equipos afectados. Gracias a esto podremos contar con archivos que puedan ser útiles en una investigación posterior.

Identifica la variante de ransomware y cambia tus contraseñas

El siguiente paso que tenemos que dar es identificar la variante de ransomware que ha infectado nuestro equipo. En este caso podríamos utilizar servicios gratuitos como la herramienta de identificación de ransomware de Emsisoft o ID Ransomware. Su forma de funcionamiento es muy sencilla, tenemos que subir un archivo cifrado o la nota de rescate que haya dejado el ciberdelincuente. Una vez hecho el análisis nos identificará la cepa de ransomware que nos ha atacado.

El siguiente paso que tenemos que dar es cambiar las contraseñas de todas nuestras cuentas online una vez que hayamos desconectado los sistemas afectados de la red. También por precaución una vez desinfectados los equipos convendría cambiarlas de nuevo.

Denuncia el delito y decide si pagas el rescate

En el momento en que seamos víctima de un ataque de ransomware te tienes que poner en contacto con la policía y denunciar el delito. Esto puede ayudar a que en futuras investigaciones detengan al ciberdelincuente y quizás puedan prestarle ayuda de algún tipo.

Por último, en cuanto al pago del rescate de ransomware en la mayoría de las ocasiones no conviene pagarlo. En el enlace anterior tenéis explicados todos los aspectos.

¡Sé el primero en comentar!