Hoy martes hemos sabido que ha habido una nueva ola de ataques de ransomware. Se trata de una ofensiva que ha afectado a multinacionales, como la compañía de logística Maersk, y a varias administraciones y empresas de Ucrania.
Si recordáis, graves ataques de ransomware infectaron el pasado mes de mayo decenas de miles de ordenadores y servidores de varios países. Hicieron daño a empresas como Telefónica y Renault, así como a diversos hospitales del Reino Unido.
¿Qué es el ‘ransomware’?
El ransomware es un tipo de virus que encripta toda la información de los ordenadores, dejándolos inutilizables.
¿Cómo funciona el virus?
Los virus encriptadores o ransomware (Criptolocker, Wannacry, etc), bloquean el acceso a todos los datos del ordenador, haciendo imposible hacer un uso normal el equipo o trabajar con éste.
Aunque la información de los ordenadores no se borra, el virus lo que hace es encriptarla. De este modo, todos estos archivos pasan a ser inaccesibles.
Dependiendo de la variante del virus de que se trate, el mismo virus pide que se haga un pago para recibir la llave que supuestamente permitirá descifrar los datos.
¿Cómo entra el virus?
El virus suele entrar aprovechando una vulnerabilidad de Windows. O bien lo hace a través de un correo electrónico que aparenta provenir de un remitente seguro.
Una vez que el virus ha entrado en un ordenador, se propaga a través de la red a todos los demás ordenadores, servidores, discos duros, o dispositivos que se encuentran en este momento en la red, encriptando toda su información.
¿Qué se puede hacer para evitar el ataque?
Aunque la seguridad absoluta es inalcanzable, podemos reducir la probabilidad de infección con las siguientes recomendaciones de seguridad:
1. No abrir correos electrónicos sospechosos. En caso de recibir un correo electrónico sospechoso, eliminarlo inmediatamente, sin intentar abrirlo.
A continuación, ir a la carpeta de elementos eliminados y borrar. Así nos aseguramos de que desaparece completamente del ordenador.
2. Aplicar las actualizaciones y parches de seguridad emitidas por los fabricantes.
3. Apagar o aislar todos los ordenadores con sistemas operativos para los que ya no hay apoyo del fabricante: Windows XP, Windows Server 2003, etc.
Para algunos de estos sistemas operativos, los fabricantes han lanzado parches que protegen de los virus conocidos, pero existen multitud de variantes del virus. Además, cada día se detectan nuevas variantes, por lo que suponen un riesgo permanente de infección de toda la red.
Los cortafuegos Sonicwall que tengan los servicios activados, están protegidos frente a esta amenaza
Estos dispositivos cuentan con firmas, tanto de Gateway AV (que detectan y bloquean el propio ransomware) como de IPS (que detectan y bloquean el exploit SMB Eternal Blue, que utiliza este ransomware para su propagación en la red local) .
¿Qué puedo hacer si ya hemos sido infectados?
Si a pesar de todo se produce la infección, nuestras recomendaciones son:
1. Apagar el ordenador inmediatamente, para evitar que se propague el virus a otros ordenadores de la red.
2. Avisar a tu tienda PCBox para que se haga un análisis del ordenador afectado.
3. Nunca pagar lo que los hackers piden. Aunque realizando el pago, la información que tenemos es que nunca se recibe la supuesta clave de desencriptación.