Uno de los mayores riesgos de seguridad informáticos para las empresas en los últimos años es la propagación masiva de virus tipo ransomware, mejor conocidos con nombres como Cryptolocker, Cryptowall, CTB-Locker, TeslaCrypt, etc.
La gran difusión de estos virus se debe a algunos factores clave simples, a saber, la capacidad de engañar a los usuarios con correos electrónicos que parecen perfectamente legítimos (que contiene el virus adjunto bajo la apariencia de una factura u otro documento) y la dificultad de los antivirus de identificar a tiempo las actividades sospechosas de este malware, también debido a la continua aparición de nuevas variantes del mismo.
Pero, ¿qué hace exactamente el ransomware como Cryptolocker? Y, ¿por qué son devastadores para la seguridad y conservación de los datos de las empresas y usuarios privados?
Pues bien, estos virus hacen una cosa muy simple: cifrar y después hacen que sea inaccesible (no se pueden abrir más, por así decirlo), casi todos los archivos presentes en el ordenador, y especialmente todos los archivos que puedan ser importantes como archivos Excel, Doc, imágenes JPEG (por lo tanto, todas las fotografías), PDF, archivos ZIP, etc.
Una vez que el virus cifra estos archivos, no se podrán abrir de ninguna manera si no se conoce la contraseña de cifrado y se utiliza un software que pueda hacerlo utilizando esta contraseña. Después de la infección, Cryptolocker mostrará un vídeo en una pantalla que advierte al usuario que todos sus archivos se han cifrado y que para recuperarlos tendrá que pagar un rescate en un plazo determinado. A continuación se muestran algunas pantallas de ejemplo:
Si todos nuestros archivos se han vuelto inaccesibles por Cryptolocker, la situación puede ser verdaderamente desesperante. Es cierto que muchas empresas deciden pagar el rescate, que en algunos casos pueden permitir recuperar los archivos, pero antes de pasar a estar solución extrema, que no hace otra cosa que financiar a los criminales sin escrúpulos que se lucran del trabajo de las personas honestas, lo mejor es confiar en una empresa especializada en la posible recuperación de los archivos o empresas que ya hayan sufrido casos similares y sepan cómo actuar.
Con el estado actual de conocimiento, con muchas de las primeras variantes de Cryptolocker, es posible confiar en servicios que permitan descifrar y recuperar los archivos con un gasto mínimo. Una de las empresas en primera línea que luchan contra este tipo de infecciones y con herramientas que pueden permitir la recuperación de los archivos cifrados es Doctor Web, una empresa rusa que desarrolla el software antivirus Dr.Web. Encuentre aquí una página con información:
http://antifraud.drweb.com/encryption_trojs/?lng=en.
Las directrices a seguir en el momento en que se detecta que hemos sido infectados con ransomware como Cryptolocker son las siguientes:
- Si encuentra que algunos archivos son inaccesibles, pero todavía no ha aparecido ninguna ventana de rescate, se aconseja apagar el ordenador, desconectarlo de la red y desconectar cualquier disco externo u otros periféricos de almacenamiento de datos para evitar el deterioro. Nos dirigiremos a personal experto para limpiar el sistema antes de reiniciarlo.
- Si la infección ya ha tenido lugar y ha aparecido la ventana de rescate, tomamos nota de los enlaces proporcionados por el virus para pagar el rescate (como último recurso) y procedemos a la eliminación del virus. Incluso en este caso, desconectamos cualquier periférico de red, discos externos u otros discos que puedan verse comprometidos por el virus. Desconectamos también el ordenador de la red. Utilizaremos una memoria USB para copiar cualquier herramienta de eliminación, limpieza y recuperación.
- Procedemos a la eliminación del virus y con el intento de recuperar los archivos. Para ello, utilizamos el ya citado Dr.Web, o el más famoso Kaspersky y Norton/Symantec.
Aquí está en enlace del sitio Kaspersky y de otras herramientas para la eliminación de virus y para la posible recuperación de los archivos mediante el descifrado:
http://support.kaspersky.com/viruses/disinfection/8005
https://noransom.kaspersky.com/
Podría llevarse a cabo otra exploración y eliminación adicional con Norton Power Eraser:
https://security.symantec.com/nbrt/npe.aspx
Después de esto, evitamos las posibles reinfecciones utilizando herramientas de control más agresivas contra posibles actividades maliciosas como las típicas del ransomware.
Una de ellas, a menudo recomendada, es HitmanPro.Alert:
http://www.surfright.nl/en/cryptoguard.
Hemos hablando hasta ahora sobre la peor situación, aquella en que todos nuestros archivos se han perdido (temporalmente) y no tenemos ninguna copia de los mismos. Esto nos pone en la posición de tener que confiar en expertos de recuperación de datos, o utilizar herramientas especiales para eliminar Cryptolocker y descifrar los archivos. Por último, si todo esto no funciona, tenemos la posibilidad de pagar un rescate y esperar que los hackers que han fabricado el virus todavía sean “accesibles”, que no hayan sido arrestados o se hayan dado de baja los sitios (en tal caso, se debe informarse sobre las recientes operaciones de la policía, que puedan haber tenido acceso a los virus y por tanto a las claves para el descifrado).
En este artículo, también queremos hablar de la prevención, o de los modos para protegernos de Cryptolocker y de todos los demás ransomware para que un posible ataque no bloquee nuestra empresa y no nos haga perder todos nuestros datos personales. Sin duda, la mejor manera para salir indemne de una infección de ransomware es haber planeado de antemano una estrategia de copia de seguridad de los datos precisa. En esta segunda parte del artículo daremos algunos consejos sobre cómo realizar la copia de seguridad de la mejor manera con Iperius Backup. Lo hemos expuesto de forma clara y esquemática mediante las siguientes preguntas y respuestas:
- ¿Qué tipos de copia de seguridad se recomiendan para poder recuperar los archivos después de un ataque de Cryptolocker?
En primer lugar, la copia de seguridad remota o la copia de seguridad en línea en la nube o FTP, porque estos destinos son inalcanzables por el virus. A continuación, la copia de seguridad en soportes externos extraíbles, como discos USB y cartuchos RDX, que pueden sustituir a la rotación mensual y llevar a un lugar externo a la empresa, por lo que es útil en caso de robos o desastres ambientales. Siempre elegimos dos o más destinos para nuestra copia de seguridad, con operaciones y programaciones diferentes. Iperius puede realizar copias de seguridad en línea en Google Drive, Dropbox, OneDrive, Amazon S3, Azure y cualquier servidor FTP.
Consulte los siguientes tutoriales:
https://www.iperiusbackup.net/?s=cloud&lang=it
https://www.iperiusbackup.net/backup-ftp-incrementale-iperius-online-storage/
https://www.iperiusbackup.net/come-fare-un-backup-ftp-incrementale-upload-con-iperius/
- ¿Con qué frecuencia debo programar la copia de seguridad?
La recomendación principal es crear diferentes operaciones de copias de seguridad, como programaciones diferentes. De hecho, debe realizarse una copia de seguridad diaria, pero también una copia semanal y mensual. Esto es para evitar que, en caso de que se produzca una infección, las copias de seguridad anteriores se sobrescriben inadvertidamente con las copias cifradas de los archivos (para tener un margen de tiempo para darse cuenta de la infección).
Consulte los siguientes tutoriales:
https://www.iperiusbackup.net/come-impostare-la-pianificazione-per-il-backup-automatico-con-iperius/
- ¿Qué modo de copia de seguridad utilizar?
El consejo es hacer copias de seguridad diarias con el modo Completo + Incremental o Completo + Diferencial (para tener un historial de los archivos modificados), y de las copias de seguridad semanales y mensuales que, inicialmente, hacen una copia completa y a continuación se actualiza esta copia solo con los archivos nuevos o modificados. Este tipo de copias de seguridad pueden hacerse en destinos FTP/SFTP, discos externos, RDX, NAS, servidores u ordenadores en red.
Por último, es muy recomendable realizar también una imagen (drive image), o una copia de seguridad completa de todo el disco semanal o mensualmente, tanto porque nos permite restaurar en poco tiempo todo el sistema limpio, como porque la imagen, al ser un archivo de gran tamaño, no se ve afectado por el virus.
Consulte los siguientes tutoriales:
https://www.iperiusbackup.net/tipi-di-backup-di-iperius-completo-incrementale-differenziale/
https://www.iperiusbackup.net/backup-immagine-disco-drive-image-windows/
- El virus también puede llegar a las carpetas en red. ¿Cómo proteger el NAS donde se ha realizado la copia de seguridad?
La pregunta es muy importante. Hay varias maneras de proteger un NAS de la entrada de un virus ransomware como Cryptolocker. Por ejemplo, se puede optar por no compartir en red ninguna carpeta del NAS, y en su lugar utilizar su servidor FTP. Con Iperius es posible configurar una copia de seguridad de tipo FTP en NAS. De esta manera, el NAS no será accesible por el virus.
O bien, queriendo mantener los recursos compartidos de red del NAS, se tendrá que hacer de manera que solo un usuario específico pueda tener permiso de escritura en las carpetas. A continuación se puede crear una cuenta específica para la copia de seguridad en Windows o en Active Directory para los ordenadores que están en un dominio, para utilizar esta cuenta o ejecutar el servicio de Iperius (o para personificar el proceso de Iperius), que se ocupa de ejecutar la copia de seguridad programada. De esta manera, solo Iperius tendrá acceso de escritura a las carpetas del NAS (donde, por supuesto, habremos dado el derecho de escritura de las carpetas compartidas a aquel usuario).
Consulte los siguientes tutoriales:
https://www.iperiusbackup.net/installazione-iperius-backup-come-servizio-windows/
https://www.iperiusbackup.net/come-fare-backup-su-nas/
Una nueva operación para proteger las copias de seguridad de Cryptolocker
Por último, a partir de la versión 4.5.2 de Iperius, se introdujo una nueva e importante opción, que permite detectar la presencia de archivos corruptos o cifrados por virus ransomware antes de hacer la copia de seguridad. Este análisis de archivos inteligente protege las copias de seguridad anteriores de ser sobrescritas por copias comprometidas de los archivos, y las protege del ataque de los virus. En la imagen de abajo vemos cómo habilitar esta opción:
Más información sobre ransomware:
https://www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
**********************************************************************************
PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx
*****************************************