¿Qué es el ransomware?
El ransomware es un tipo de virus que durante los últimos días ha infectado a decenas de miles de ordenadores y servidores de varios países, entrando en empresas como Telefónica, Renault o diversos hospitales del Reino Unido. Su característica principal es que encripta toda la información de los ordenadores dejándolos inutilizables.
¿Cómo funciona el virus?
Los virus encriptadores o ransomware (Criptolocker, Wannacry, etc), bloquean el acceso a todos los datos del ordenador, haciendo imposible el trabajo normal. Aunque la información de los ordenadores no se borra, el virus la encripta de manera que queda inaccesible. Dependiendo de la variante del virus de que se trate, el propio virus pide que se realice un pago para recibir la clave que supuestamente permitirá desencriptar los datos.
¿Cómo entra el virus?
El virus suele entrar aprovechando una vulnerabilidad de Windows, o a través de un email que aparenta provenir de un remitente seguro. Una vez que el virus ha entrado en un ordenador, se propaga a través de la red a todos los otros ordenadores, servidores, discos duros, o dispositivos que se encuentren en ese momento en la red, encriptando toda su información.
¿Qué se puede hacer para evitar el ataque?
Aunque la seguridad absoluta es inalcanzable, podemos reducir la probabilidad de infección con las siguientes recomendaciones de seguridad:
- No abrir emails sospechosos. En caso de recibir un email sospechoso, eliminarlo inmediatamente sin intentar abrirlo. Acto seguido, ir a la carpeta de elementos eliminados y borrarlo a fin de que desaparezca completamente del ordenador.
- Aplicar las actualizaciones y parches de seguridad emitidas por los fabricantes
- Apagar o aislar todos los ordenadores con sistemas operativos para los que ya no hay soporte del fabricante: Windows XP, Windows Server 2003, etc. Para algunos de estos sistemas operativos, los fabricantes han lanzado parches que protegen de los virus conocidos, pero existen multitud de variantes del virus, y cada día se detectan nuevas, con lo que representan un riesgo permanente de infección de toda la red.
Los firewalls Sonicwall que tengan los servicios activados están protegidos frente a esta amenaza.
Estos dispositivos disponen de firmas tanto de Gateway AV (que detectan y bloquean el propio ransomware) como de IPS (que detectan y bloquean el exploit SMB Eternal Blue, que usa este ransomware para su propagación en la red local).
¿Qué puedo hacer si ya hemos sido infectados?
Si a pesar de todo se produce la infección, nuestras recomendaciones son:
- Apagar el ordenador inmediatamente a fin de evitar que se propague el virus a otros ordenadores de la red.
- Avisarnos para que vayamos a hacer un análisis del ordenador afectado.
- Nunca pagar lo que los hackers piden. Aun realizando el pago, la información que tenemos es que nunca se recibe la supuesta clave de desencriptación.
¿Qué soluciones de Ciberseguridad ofrece Inforber?
Si aún no tenéis servicios de seguridad contratados con nosotros, os ofrecemos nuestra ayuda con respecto a firewalls, antivirus y otros sistemas de protección.
Disponemos del sistema de auditoria de Ciberseguridad Zeed Security, que escanea la red para detectar posibles riesgos y agujeros de seguridad en todos los ordenadores y servidores. Os recomendamos esta herramienta para descubrir y corregir las vulnerabilidades de manera rápida y eficaz.
Inforber Sistemas estamos a vuestra disposición para ayudaros en todo lo necesario.
