Cómo eliminar el Ransomware de la Manera Correcta: una guía paso a paso
El ransomware es la principal amenaza de malware tanto para usuarios domésticos como comerciales. Hemos visto variantes sofisticadas que utilizan presentaciones elegantes y portales de pago similares a las nuevas empresas modernas y recientemente una variante disfrazada de limpiaparabrisas. Independientemente de la variante, todas las infecciones de ransomware tienen dos cosas en común: archivos bloqueados y una demanda de pago de rescate.
Por lo tanto, hemos creado este artículo paso a paso para guiarlo a través del proceso de qué hacer si se infecta con ransomware.
Galacticypter GUI Courtesy of MalwareHunterTeam
Entonces, ¿qué es exactamente el ransomware?
El ransomware es un tipo de software malicioso que bloquea sus archivos y exige un rescate para acceder a ellos. Esta forma de malware es ahora la forma más lucrativa de cibercrimen, ya que las víctimas se sienten amenazadas de pagar, incluso si no hay garantías de recuperar los datos.
¿Debo pagar el rescate?
Depende. Pagar el rescate debe considerarse un último recurso. Tiene varias opciones, según su situación, tipo de ataque de ransomware, etc.
Particularmente para empresas más grandes, pagar de inmediato parece ser la mejor opción para recuperar archivos y evitar la posible vergüenza de admitir una violación de seguridad o medidas de seguridad de TI inadecuadas. Sin embargo, en muchos casos, incluso después de pagar grandes sumas de dinero, los usuarios aún no reciben sus archivos. Es mejor considerar primero todas las opciones antes de decidir pagar el rescate.
Estamos aquí para ayudar. Sin ataduras.
Emsisoft es un orgulloso socio asociado de No More Ransom, una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la policía de los Países Bajos, el Centro Europeo de Delitos Cibernéticos de Europol y otras compañías de ciberseguridad. Nuestro objetivo compartido es ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagar.
Emsisoft combate diariamente el ransomware en primera línea, lo que significa que estamos mejor posicionados para ofrecerle consejos gratuitos y fáciles de seguir sin ningún compromiso. Vamos a empezar.
¡He sido infectado con ransomware! ¿Qué tengo que hacer?
Aquí hay una palabra de nuestro Director de Tecnología y Jefe del Laboratorio de Investigación de Malware Emsisoft, Fabian Wosar:
“Las infecciones por ransomware son únicas en muchos sentidos. Lo más importante es que muchos de los instintos naturales, que generalmente son correctos cuando se trata de infecciones de malware, pueden empeorar las cosas cuando se trata de ransomware ".
Entonces, respire y siga estos pasos:
1. Crear una imagen o copia de seguridad del sistema
Algunas variedades de ransomware tienen cargas útiles ocultas que eliminarán y sobrescribirán todos los archivos cifrados después de que haya transcurrido un cierto tiempo. los descifradores pueden no ser cien por ciento precisos, ya que el ransomware a menudo se actualiza o simplemente tiene errores y puede dañar los archivos en el proceso de recuperación. En estos casos, hemos descubierto que una copia de seguridad cifrada es mejor que no tener ninguna copia de seguridad.
Acción: este es un primer paso importante: cree una copia de seguridad de todos sus archivos cifrados antes de hacer cualquier otra cosa.
Recurso adicional: consejos detallados sobre cómo las copias de seguridad evitan el ransomware.
2. Desactive cualquier software de optimización y limpieza del sistema.
Una gran cantidad de cepas de ransomware se almacenan, y otros archivos necesarios, en su carpeta de archivos temporales. Si usa herramientas de limpieza u optimización del sistema como CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk / Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic o cualquier cosa comparable, debe deshabilitar estas herramientas de inmediato.
Acción: compruebe para asegurarse de que no hay ejecuciones automáticas programadas. De lo contrario, estas aplicaciones pueden eliminar la infección u otros archivos de ransomware necesarios de su sistema. Los necesitaremos más adelante para determinar con qué tipo de ransomware ha sido infectado.
3. Cuarentena, ¡pero no la elimine!
Es posible que su solución antimalware ya haya puesto en cuarentena el archivo infectado. ¡Está bien! Pero no elimine ningún archivo. Para averiguar qué ha hecho exactamente el ransomware en su computadora, necesitaremos que el ransomware sea ejecutable.
Nota: está bien deshabilitar la infección deshabilitando las entradas de ejecución automática que apuntan a ella o poniendo en cuarentena la infección. Sin embargo, es importante no eliminarlo de la cuarentena o eliminar los archivos maliciosos de inmediato sin una copia de seguridad completa.
Para identificar una variedad de ransomware, necesitaremos acceso al archivo malicioso. Además, puede ser útil ver un archivo cifrado de muestra (idealmente, nada sensible, como un icono del sistema o similar) para identificar exactamente qué método de cifrado se usó y si alguna característica identificable coincide con las cepas conocidas de ransomware.
Nota para las víctimas del servidor: identifique el punto de entrada y ciérrelo
Recientemente, hemos visto muchos casos de servidores comprometidos. El ransomware accede al servidor por fuerza bruta. Las contraseñas de los usuarios se disparan rápidamente al servidor a través del Protocolo de escritorio remoto (RDP).
Sugerimos firmemente que revise sus registros de eventos para ver una gran cantidad de intentos de inicio de sesión disparados en rápida sucesión.
Si encuentra tales entradas o si su registro de eventos está completamente vacío, su servidor fue pirateado a través de RDP. Es crucial que cambie todas las contraseñas de las cuentas de usuario de inmediato. También sugerimos desactivar RDP si es posible o al menos cambiar el puerto.
Acción: verifique todas las cuentas de usuario en el servidor para asegurarse de que los atacantes no crearon ninguna cuenta de puerta trasera que les permitiera acceder al sistema más adelante.
4. Identifique el tipo de ransomware y verifique la disponibilidad del descifrador
Si su sistema está infectado, pero no sabe con qué tipo de ransomware ha sido infectado, visite la página Herramientas de descifrado de Emsisoft para identificar la cepa del ransomware y verificar si hay un descifrador disponible.
Acción: vaya a la página Herramientas de descifrado de ransomware Emsisoft para identificar la cepa del ransomware y verificar la disponibilidad del descifrador.
Recurso adicional: si desea obtener más información sobre cómo los investigadores de seguridad identifican el ransomware, consulte esta entrevista con el investigador de seguridad Michael Gillespie.
4.1 ¿Descifrador disponible? ¡Adelante!
Una vez que sepa qué tipo de ransomware ha sido infectado y hay un descifrador disponible, continúe y comience a desbloquear sus archivos.
Trabajamos incansablemente para garantizar que los descifradores más actualizados se enumeren aquí. Sin embargo, tenga en cuenta que no hay garantía de que el descifrador que necesita estará disponible. El ransomware evoluciona y se agregan más variantes todos los días.
Si tiene el descifrador que necesita, siga las instrucciones proporcionadas en la página de descarga para ejecutar el programa. ¡Asegúrese de decirnos que funcionó! Cuéntanos tu historia aquí.
4.2 ¿No hay descifrador disponible? ¡Ayúdanos!
Para descifrar nuevas cepas de ransomware, nuestro laboratorio debe conocerlas lo antes posible.
Contáctanos y cuéntanos que has sido infectado. Nuestros desencriptadores vienen sin ataduras y son gratuitos para los clientes y no clientes de Emsisoft. Nuestro equipo de soporte le proporcionará instrucciones sobre qué archivos debe proporcionar. Generalmente incluye:
Archivo malicioso
Un par de archivos que consta de un archivo cifrado y la versión original (puede encontrar una versión original de un archivo utilizando imágenes predeterminadas de Windows, archivos que ha descargado o archivos de programas que ha instalado)
5.3 ¿Necesita ayuda profesional para su organización? ¡Contáctenos!
Cuando los descifradores no funcionan o si ya pagó el rescate pero el autor del ransomware no cumplió su parte del trato, también tiene la opción de encargar el desarrollo de una clave de descifrador personalizada. Este es un servicio profesional pago ofrecido por nuestro equipo (encabezado por los investigadores de malware de fama mundial Fabian Wosar y Michael Gillespie) y socios de confianza. Contáctenos hoy para obtener información adicional.
Como puede ver, hay muchos pasos prácticos que puede tomar para limitar el impacto del ransomware en sus datos. ¡Entonces, no se asuste! Emsisoft estará a tu lado durante todo el proceso.
¡Que tenga un gran día (sin ransomware)!