10 steps to take after a ransomware attack

• Un tipo de virus informático conocido como ransomware, también llamado software malicioso o malware, bloquea tu computadora y envía una notificación solicitando un pago para desbloquear tus datos.
• La prevención es la mejor forma de defensa cuando se trata de ransomware.
• Hay 10 pasos que puedes seguir después de un ataque de ransomware, como mantener la calma, tomar una foto, informar, aislar sistemas, asegurar copias de seguridad, herramientas de descifrado, etc.

ransomware es un tipo de virus informático, también llamado software malicioso o malware, que bloquea tu computadora y envía una alerta exigiendo un pago para la devolución de tus datos. Los ciberdelincuentes suelen apuntar a empresas y gobiernos con la esperanza de que paguen grandes recompensas para liberar archivos y restaurar sistemas críticos. Pero los ataques de ransomware también le ocurren a los usuarios comunes de computadoras.

Cuando se trata de ransomware, la prevención es la mejor defensa. Tú o tu empresa pueden encontrarse con frecuencia en medio de un ataque de ransomware si no tienen implementadas medidas de seguridad preventivas sólidas. Ver también: El registro de miembros desaparecido de AfriNIC.

Aquí hay 10 pasos que debes seguir después de un ataque de ransomware. Ver también: Desaparición del registro de miembros de AfriNIC.

1. Mantén la calma

Cuando no puedes acceder a archivos cruciales en tu computadora, se vuelve difícil mantener la compostura. Sin embargo, lo primero que debes hacer después de ser infectado con ransomware es permanecer sereno y tranquilo. Ver también: Asociación ECHOES.

La mayoría de las personas no consideran la gravedad de la situación antes de pagar apresuradamente el rescate. A veces, las negociaciones con el atacante pueden ser posibles si mantienes la calma y esperas. Ver también: IT Department - Athlok.

2. Toma una foto del mensaje de ransomware

Recuerda que usar ransomware es ilegal. De hecho, todavía es posible procesar a los hackers por delitos graves si propagan ransomware y extraen menos de $1,000 de sus víctimas. Toma una foto del mensaje de ransomware que aparece en tu dispositivo antes de informar un ataque. Esto se puede lograr con un teléfono inteligente, una cámara o, si es práctico, una captura de pantalla. Ver también: Alejandro Fernandez.

3. Informa sobre el ransomware

Si tu empresa trabaja con un equipo de TI externo o una firma de ciberseguridad, infórmales sobre el ataque para que puedan comenzar a evaluar el alcance del daño. Si tu empresa tiene una póliza de seguro contra ransomware, contacta a tu proveedor de seguros para informarles lo sucedido. Ver también: Aldo Garcia.

Finalmente, informa el ataque al FBI. Puedes contactar a tu oficina local del FBI, que podría brindar apoyo para rastrear cómo ocurrió el ataque en primer lugar. Ver también: Alcymer Vieira.

Lee también: IA: Las oportunidades y las amenazas

4. Aísla los sistemas afectados

Desconecta la computadora afectada de tu red. Si bien el ransomware puede ya haberse infiltrado en tu red, reduces la probabilidad de que también haya llegado a tus copias de seguridad al aislar el ataque. Esto es especialmente cierto si usas copias de seguridad en la nube. Desconectar la computadora afectada ayuda a detener el ransomware en seco. Ver también: Alcides Cremonezi.

5. Asegura las copias de seguridad

Aunque las copias de seguridad juegan un papel crucial en la remediación, es importante recordar que no son inmunes al ransomware. Para frustrar los esfuerzos de recuperación, muchas cepas modernas de ransomware apuntan específicamente a las copias de seguridad de una empresa e intentan cifrarlas, sobrescribirlas o eliminarlas.

En caso de un incidente de ransomware, las organizaciones deben asegurar sus copias de seguridad desconectando el almacenamiento de copias de seguridad de la red o bloqueando el acceso a los sistemas de copia de seguridad hasta que se resuelva la infección.

6. Desactiva las tareas de mantenimiento

En los sistemas afectados, las organizaciones deben desactivar inmediatamente las tareas de mantenimiento automatizadas, como la rotación de registros y la eliminación de archivos temporales, porque pueden alterar archivos que los equipos forenses e investigadores podrían necesitar.

Los registros de archivos, por ejemplo, podrían proporcionar pistas cruciales sobre el punto original de la infección, y ciertas variantes de ransomware con programación débil podrían almacenar datos cruciales —como claves de cifrado— en archivos temporales.

7. Busca herramientas de descifrado en tu software antivirus

Una herramienta de descifrado de algún tipo viene incluida en un buen software antivirus para ayudar a eliminar el ransomware sin ceder a las demandas del hacker. Usa tu programa antivirus para buscar herramientas de descifrado. Si tu software no funciona, intenta buscar una herramienta de descifrado en línea con un dispositivo diferente (un teléfono inteligente usando datos móviles es seguro).

Lee también: ¿Qué es la banca abierta? Una breve guía

8. Identifica la variante del ataque

Puedes usar herramientas gratuitas como ID Ransomware y la herramienta de identificación de ransomware en línea de Emsisoft para identificar el tipo de ransomware.

Los usuarios pueden cargar una muestra del archivo cifrado, cualquier nota de rescate que se haya dejado y, si está disponible, los detalles de contacto del atacante utilizando estos servicios. El tipo de cepa de ransomware que ha afectado los archivos del usuario se puede determinar analizando estos datos.

9. Restablece las contraseñas

Si un hacker logra acceder a tu computadora, también puede recuperar cualquier contraseña que almacenes en el llavero de tu sistema operativo o en el navegador web. Después de que tu sistema operativo haya sido restaurado, procede a cambiar tantas contraseñas como puedas. Hacer que cada una sea distinta de las que usaste antes del hackeo también es una buena idea, ya que un hacker con acceso a tu lista de contraseñas eventualmente podrá descifrar las nuevas.

10. Decide si pagar el rescate

Si las copias de seguridad están dañadas y no hay una herramienta de descifrado apropiada disponible, las organizaciones pueden verse tentadas a pagar el rescate para recuperar sus archivos.

Si bien pagar el rescate puede ayudar a reducir la interrupción y puede ser más barato que el costo total del tiempo de inactividad, no es una decisión que deba tomarse a la ligera. Las organizaciones solo deben considerar pagar el rescate si se han agotado todas las demás opciones y la pérdida de datos probablemente resulte en que la empresa cierre.

Un ataque de ransomware puede ocurrir en cualquier momento, por lo que es importante saber cómo responder rápidamente si la red de tu organización es atacada. Alertar a otras partes sobre el ataque y aislar rápidamente la parte afectada de tu red es clave para minimizar el daño. Después de un ataque de ransomware, es esencial auditar completamente tu red para asegurarse de que los atacantes hayan sido eliminados y que no quede ransomware remanente.