Qué hacer cuando ataca el ransomware
Publicado: 2022-12-19Los ataques de ransomware van en aumento. Incluso si toma las mejores medidas de seguridad para evitar ataques de ransomware, los delincuentes pueden cifrar con éxito sus archivos o bloquear su dispositivo. Por lo tanto, saber qué hacer cuando ataca el ransomware puede mantenerlo ordenado cuando vea una nota de rescate en la pantalla de su dispositivo.
Este artículo explicará todo lo que debe saber para resistir (y recuperarse) un ataque de ransomware. Vamos a sumergirnos:
¿Qué es el ransomware?
El ransomware es software malicioso o malware que bloquea un dispositivo o cifra los datos en él, evitando que un usuario acceda al dispositivo o a los datos. El usuario está presente entonces con una demanda de rescate a cambio de desbloquear el dispositivo o descifrar los datos.
Existen principalmente dos tipos de ransomware, dirigidos a propietarios de pequeñas empresas. Uno es Locker, que bloquea el dispositivo; y otro es Crypto, que cifra los datos en un dispositivo.
Cómo ataca el ransomware a las pequeñas empresas
Hay varias formas en que pueden ocurrir las infecciones de ransomware. Estos son los principales vencedores de ataques de ransomware que debe conocer para evitar ser víctima de un ataque de ransomware:
- Archivos adjuntos de correo electrónico malicioso
- Sitios web comprometidos que tienen código malicioso oculto
- ventanas emergentes
- Campañas de smishing dirigidas a aplicaciones de mensajería instantánea
Los ataques de ingeniería social, que pueden incluir cualquiera de las tácticas mencionadas anteriormente, son uno de los métodos más efectivos para instalar ransomware en los dispositivos de las víctimas.
¿Qué es un plan de respuesta de ransomware?
Un plan de respuesta de ransomware describe los pasos a seguir durante un ataque de ransomware. Es como un procedimiento operativo estándar (SOP) que su empresa seguirá cuando haya un incidente de ransomware. Un plan de respuesta de ransomware también lo ayuda a prepararse mejor para futuros ataques.
Es menos probable que las empresas con planes de respuesta de ransomware definidos paguen el rescate para recuperar información y datos críticos.
Qué hacer durante un ataque de ransomware
El siguiente es un proceso paso a paso a seguir durante un ataque de ransomware:
1. Desconecte el dispositivo infectado
En un ataque de ransomware, es esencial desconectar el sistema informático infectado lo antes posible. Hacerlo evita que el ransomware se propague a otros dispositivos en su red, lo que limita el daño causado. También evita que el atacante continúe obteniendo acceso a sus archivos y cifrándolos.
Si el sistema infectado tiene alguna unidad de almacenamiento externa conectada, retírela del sistema. Luego, debe verificar otros sistemas informáticos en su red para detectar cualquier signo de infección de ransomware. Es bueno apagar su red informática compartida hasta que esté seguro de que otros sistemas en la red no se ven afectados.
2. Mantén la calma y la compostura
Cuando un ataque de ransomware golpea su computadora, puede ser fácil entrar en pánico y comenzar a hacer clic frenéticamente en los botones para solucionar el problema. Sin embargo, esto puede empeorar la situación y dificultar que los profesionales de TI eliminen el ransomware con éxito.
Es importante mantener la calma y la compostura durante un ataque de ransomware. Respira hondo y recuerda que entrar en pánico no solucionará nada. Póngase en contacto inmediatamente con su departamento de TI o con un profesional externo y siga sus instrucciones cuidadosamente.
3. Informar a las agencias de abogados
Reportar el ataque a las agencias de aplicación de la ley correspondientes no solo ayuda con su investigación, sino que también puede llevar a que se comparta información importante con otras organizaciones e individuos, brindando una protección crucial contra ataques similares en el futuro.
Además, si se comunica con una agencia de aplicación de la ley, a menudo puede resultar en asistencia de recuperación o beneficios de seguro que podrían resultar invaluables para que su negocio vuelva a funcionar.
4. No pague rescate
Si bien puede ser tentador pagar el rescate y seguir adelante después de un ataque de ransomware, es importante recordar que hacerlo solo alimenta el fuego para futuros ataques. Y no hay garantía de que recuperará su información o datos confidenciales después de pagar el rescate.
5. Cambiar contraseñas
Cuando ocurre un ataque de ransomware, debe cambiar todas las contraseñas en línea y de cuenta después de desconectar el dispositivo infectado. Esto se debe a que no sabe cómo entró el ransomware en el sistema informático y si el pirata informático robó sus credenciales de inicio de sesión. Una vez que se elimina la infección de ransomware, debe cambiar todas sus contraseñas nuevamente.
6. Busque una herramienta de descifrado
Si la nota de rescate no indica el nombre del ransomware, puede usar una herramienta como Crypto Sheriff o ID Ransomware para conocer la tensión del ransomware cifrado. Una vez que identifique la cepa de ransomware, busque en la web la clave de descifrado adecuada. Muchos recursos web tienen herramientas de descifrado para ransomware conocido.
Puede consultar No More Ransom, AVG Decryption Tool y Kaspersky Free Recovery Tools para determinar si la clave de descifrado está disponible.
7. Eliminar el ransomware
Puede utilizar una herramienta de eliminación de ransomware reconocida, como Malwarebytes Premium, Hitman Pro o Bitdefender para eliminar la infección de ransomware. Debe contratar a un experto en seguridad cibernética para eliminar la infección si no tiene uno.
Después de eliminar el ransomware, debe actualizar los sistemas operativos de todas las computadoras. Además, debe actualizar todas las aplicaciones de software que utiliza en su negocio.
8. Construya su sistema
Ha eliminado la infección, ha actualizado los sistemas operativos y ha instalado las aplicaciones de software. Ahora es el momento de volver a construir su sistema. Incluso si puede descifrar datos, no debe usarlos. Si es posible, debe restaurar los datos de su copia de seguridad. Pero antes de hacer eso, debe escanear su copia de seguridad en busca de malware.
9. Descubre el vector de ataque
Realice una investigación posterior a la acción para descubrir cómo ocurrió el ataque de ransomware. El primer lugar para comenzar es su equipo. Organice una reunión de equipo e introspección para encontrar la causa raíz de la infección: cómo ingresó el ransomware al sistema informático.
10. Tome medidas para prevenir futuros ataques
Una vez que conozca el vector de ataque, debe tomar las medidas de seguridad necesarias para prevenir futuros ataques. La mayoría de los ataques de ransomware ocurren debido a un error humano. Por lo tanto, capacitar a sus empleados e instalar un software confiable de protección contra ransomware puede prevenir ataques de ransomware y violaciones de datos.
¿Cuál es la mejor defensa contra un ataque de ransomware?
Su mejor defensa contra un ataque de ransomware son sus empleados porque el phishing es la principal causa de infección de ransomware. Por lo tanto, capacite a sus empleados en las mejores prácticas de ciberseguridad.
La capacitación en ciberseguridad los ayudará a frustrar con éxito un intento de phishing o cualquier otro ataque de ingeniería social. El mejor software antivirus o antimalware no puede proteger sus sistemas informáticos y archivos importantes si sus empleados son poco estrictos con la ciberseguridad.
¿Cuál es el primer paso después de que un sistema se infecta con software malicioso ransomware?
El primer paso después de que un sistema se infecta con software malicioso ransomware es desconectar el dispositivo infectado de la red y apagar su conexión a Internet. Si hay algún disco duro externo conectado al dispositivo de infección, retírelo y compruebe si hay datos cifrados.
¿Cómo se usa el protocolo de escritorio remoto en ransomware?
El Protocolo de escritorio remoto (RDP) es la tecnología más popular utilizada por los trabajadores remotos para conectarse con el servidor de una organización. Las conexiones de protocolo de escritorio remoto comprometidas se están convirtiendo en un popular vencedor de ataques de ransomware porque la cantidad de personas que trabajan de forma remota está creciendo constantemente.
Imagen: Depositphotos