Ransomware: prevenir y proteger mi información

El ransomware WannaCry es altamente contagioso y peligroso

Desde el pasado viernes 12 de Mayo de 2017 hemos atestiguado, lo que ya es denominado "uno de los mayores ataques ransomware en la historia".

WannaCry se extendió a través del mundo en muy pocas horas, significó un caos para muchos hospitales, paralizó las fábricas, provocó dolores de cabeza para Microsoft y horas extra para profesionales de sistemas, informática y ciberseguridad.

Como dato curioso, para quienes tienen un poco de interés en el tema, se ha revelado aqui que un joven de Reino Unido por el nombre de MalwareTech encontró un "Boton de Apagado" por accidente que por un momento frenó la propagación del ransomware. ¿Lo increíble? Fue un accidente y solo le costó $10 USD.

Lo importante del tema es que, a pesar de lo anterior, aún no ha sido detenido el ataque, la situación aún no está controlada: hay serias posibilidades de que este lunes 15 de Mayo de 2017 continúen este tipo de ataques:

“If we did stop it, there’s like a hundred percent chance they’re going to fire up a new sample and start that one again,” le comentó @MalwareTechBlog a The Daily Beast. “As long as people don’t patch it’s just going to keep going.” (refiriéndose a las actualizaciones de windows, que abajo comentaremos)

Por esta razón, compartimos con ustedes lo que consideramos información básica que les servirá para prevenir este tipo de ataques ó minimizar el daño, en caso de que sea demasiado tarde.

 

¿Qué es Ransomware?

Una forma de virus, código de programación malintencionado que cifra e inhabilita lo mas importante para el usuario: su trabajo. Afecta a todos los archivos a los que el usuario tiene acceso: documentos de texto, hojas de cálculo, presentaciones, imágenes, etc. Y posteriormente exige un pago en Bitcoins como rescate para recuperar la información.


¿Cómo puede llegar a mi ordenador?

Típicamente por correo electrónico, inclusive puede aparentar ser enviado desde la cuenta de correo de algún contacto conocido. Es altamente contagioso dentro de redes LAN, dado que se propaga usando el protocolo SMB, que mas adelante recomendamos deshabilitar. También puede llegar a través de enlaces en páginas web.


¿Cómo puedo evitarlo?

  1. Actualice su equipo. Asegúrese de contar con los últimos parches de seguridad disponibles para su sistema operativo.
  2. Asegurese de contar con un software antivirus instalado y funcionando, manténgalo actualizado constantemente.
  3. Realice semanalmente una copia de seguridad de sus archivos e información sensible en una unidad de almacenamiento externa.
  4. Sea precavido al navegar por internet, se recomienda instalar un complemento/extensión que ayude a filtrar el contenido publicitario (Ad Block, uBlock, etc) para el navegador web (Chrome ó Firefox)
  5. Elimine correo sospechoso, ó de dudosa procedencia. No lo abra, no lo descargue.
  6. No descargue archivos adjuntos con extensión ".zip" ó ".rar" al menos que tenta plena confianza en su origen.
  7. Si usted es administrador de red, es conveniente bloquear o al menos controlar/supervisar la comunicación en los puertos 137 y 138 UDP y puertos 139 y 445 TCP.
  8. Deshabilite temporalmente "Server Message Block (SMB)", hasta que sepamos que las amenazas de ataque han disminuido: Al deshabilitar SMB en Windows y bloquear el puerto 445 TCP, impedimos la propagación del Ransomware "WannaCry" en nuestra red local.
Deshabilite temporalmente "Server Message Block (SMB)" en Windows


¿Que debo hacer cuando alguien en la misma red donde trabajo ha sido infectado de ransomware?

Su equipo puede estar en riesgo, por lo tanto:

  1. Inmediatamente debe desconectar de internet el ordenador que usted utiliza. Desconecte el cable de red y desactive los adaptadores de red inalámbricos apretando las teclas WIN + R y escribiendo en la ventana de Ejecutar "ncpa.cpl", seleccione cada adaptador y presione click derecho para encontrar el botón de "Deshabilitar".
  2. Revise con calma sus archivos, verifique que todo se encuentre en orden.

Respecto al equipo que se encuentra infectado:

  1. Asegúrese de que el equipo infectado sea apagado y desconectado por completo, no debe ser encendido hasta que un administrador de sistemas calificado pueda revisarlo.
  2. No recomendamos que pague el rescate.
  3. Contacte a un administrador de sistemas calificado para que revise el equipo infectado.
  4. Si usted es administrador de sistemas, le recomendamos que visite este sitio web para obtener mayor ayuda sobre métodos para detectar el ripo de Ransomware que afecta al equipo y determinar si es posible descifrar los archivos infectados.

Puedes encontrar mas información en:

  • En el comunicado oficial de Microsoft: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_content=bufferc771a&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer
  • El comunicado oficial de la UNAM: http://www.cert.org.mx/boletin/?vulne=6630
  • El "Quick TIP" en The Hacker News: http://thehackernews.com/2017/05/wannacry-ransomware-windows.html

 

 


Luis R. Arrangoiz

Director de Operaciones en Khronos Telecom, S.A. de C.V. Apasionado por la tecnología y entregado a hacer eficientes las comunicaciones empresariales.