¿Qué hacer si somos víctimas de un ransomware?

El ransomware se ha vuelto de facto uno de los negocios más lucrativos de la industria del crimen, y lo peor es que su crecimiento está más que asegurado.

Las razones son obvias:

• Son fácilmente escalables y monetizables: Se lanzan una vez mediante algún tipo de campaña de ingeniería social y/o phishing, y nos olvidamos. Los recursos que se consumen en el cifrado habitualmente se consumen en la máquina de la víctima. Para colmo, es la víctima quien debe tomar la iniciativa para poner solución al problema. El único momento en el que el cibercriminal debe tomar cartas en el asunto es cuando la víctima en efecto ha hecho el pago, haciéndole llegar la llave, y siempre y cuando de verdad esto acabe ocurriendo. Se calcula que cerca del 30% de las víctimas que han pagado por un ransomware no han recibido la herramienta para descifrar sus archivos.
• Hasta un noob puede llevarlos a cabo: Ni siquiera es necesario grandes conocimientos técnicos. Con la industrialización del cibercrimen, cualquier persona sin escrúpulos podría alquilar por algo más de 200 dólares un CdC desde el que gestionar los ataques únicamente apretando botones. Los creadores de la plataforma se quedan un porcentaje de los beneficios, y el resto va para el cibercriminal, cuya única relación con el ataque se hace mediante una interfaz gráfica.
• Atacan a donde más duele: A los activos de una persona/compañía. Principalmente, y al menos hasta ahora, a los datos y documentos de sus sistemas, pero cada vez más, y como comentaba en el whitepaper, hacia los propios sistemas de una organización, «secuestrando» por ejemplo las cámaras de vigilancia de una oficina o el control de una potabilizadora de agua.

Por ello, me ha parecido interesante dedicar el artículo de hoy a una suerte de guía sobre las pautas a seguir una vez nuestros sistemas han sido infectados por un ransomware.

Para ello me he basado en un documento que que EsferaRed (ES) me enviaba, y que había preparado para la ocasión en base a su experiencia con una serie casos recientes ocurridos con alguno de sus clientes. Y de paso he ido incluyendo algunas observaciones propias, restructurando el contenido, para facilitarle a la víctima el trabajo:

1.- Actuar lo antes posible

Da igual el vector de ataque (un enlace, una campaña de phishing, un documento enviado por internet…) y la excusa esgrimida en este caso (alerta vía SMS de un transportista, campaña de la Renta de cada año, alerta de seguridad de PayPal o del banco que sea…), el primer punto que recomendaría llevar a cabo es actuar lo antes posible:

• Intentando precisar el momento exacto de la infección: Como decía, lo más seguro es que fuera justo después de abrir un enlace, instalar algo o aceptar que se cargaran macros o contenido de terceros en un documento específico. Esa información nos será muy útil para denunciarlo ante las autoridades, y posiblemente también para localizar posibles decrypters.
• Si tenemos copias de seguridad, plantearnos volver a un estado anterior: Si es posible (a veces perder toda la información hasta el momento de la última copia de seguridad es la última alternativa a considerar), lo mejor sería hacerlo cuanto antes. Si volvemos a un estado anterior de nuestro Windows/MacOS, y aunque sea verdad que hay algunos ransomware capaces de replicarse en las copias o mantenerse en letargo, lo más probable es que el ransomware ya no esté activo, y el problema habrá desaparecido.

2.- Identificar y alertar

Presuponiendo que en efecto o no tengamos copias de seguridad (-.-), o bien prefiramos intentar solucionarlo sin recurrir a ello (entiendo entonces que las copias las tenemos a buen recaudo fuera del alcance del ransomware), o bien ya lo hemos solucionado y queremos ayudar al resto de potenciales víctimas a que no les pase lo mismo, el segundo paso es identificar ante qué familia de ransomware estamos.

Para ello, nos dirigiremos a la herramienta de ransomware de MalwareHunterTeam (EN), que nos pedirá una muestra de archivo cifrado y la nota de rescate que nos habrán hecho llegar los cibercriminales. Este servicio intentará reconocer a qué familia pertenece el ransomware, y además nos suele indicar si existe y algún tipo de medicina gratuita.

Con esa información deberíamos dejar constancia del ataque ante las autoridades de nuestro país. 

3.- En busca de una herramienta que nos descifre los archivos secuestrados

Ahora deberíamos dirigirnos a NoMoreRansom (EN), un servicio que ofrece Kaspersky junto con varios grandes organizaciones mundiales y que hoy en día es la base de datos de herramientas de descifrado de ransomware más completa que existe.

En el apartado Decryption Tools, buscaríamos por la familia de ransomware que nos ha atacado a ver si ya existe medicina para él.

Si no hemos tenido suerte, tocará probar en DRWeb (EN) o cualquier otro antivirus online que se dedique a ofrecer medicinas. Eso sí, posiblemente sea bajo un acuerdo de compra.

Subimos una muestra, y si en efecto es capaz de descifrarla, podemos plantearnos comprar su herramienta, que ya le digo que será más barata y segura que pagar a los cibercriminales.

Por último, queda la esperanza de que algunas empresas especializadas puedan hacernos el trabajo. Por supuesto, hablamos de compañías que se dedican a esto, y el coste de su servicio es acorde al target de cliente habitual(otras empresas).

También podemos pedir ayuda (información) a los cuerpos de seguridad de nuestro país, o incluso mirar si por Google o Twitter se está diciendo algo sobre ese ransomware. Una búsqueda rápida por Internet, o bajo el hashtag #Ransom (EN) o #Ransomware (EN) quizás nos de alguna pista extra.

Llegados a este punto, habría que plantearse si este dispositivo o documentos son críticos para nuestro día a día. Presuponiendo que no hablamos de archivos subidos a la nube, si apagamos el dispositivo el proceso de cifrado se para, y seguramente en unas semanas alguien libere una herramienta de descifrado para esa tipología de ransomware. Sistemas operativos como Windows suelen activar por defecto la restauración del sistema, así que aunque quizás nosotros no lo hayamos hecho, lo mismo nuestro dispositivo ha estado almacenando copias antiguas que podamos restaurar.

Un servidor no recomendaría en ningún caso hacer el pago a los cibercriminales. Más que nada porque hacerlo no nos asegura que en efecto podamos descifrar nuestros archivos. Pero claro, allá cada uno con su situación y sus necesidades…