Cómo eliminar el ransomware de la manera correcta: una guía paso a paso

En el transcurso de 2016, el ransomware se convirtió rápidamente en la amenaza número 1 para los usuarios domésticos y comerciales. En 2017, ya estamos viendo variantes más sofisticadas que utilizan portales de presentación y pago parecidos a las nuevas empresas modernas, pero el resultado es siempre el mismo: las víctimas no pueden acceder a los archivos y una nota de rescate con una cuenta regresiva para pagar.
Es hora de entrar en pánico? ¡No!
Porque esto suele suceder inmediatamente después del ataque de ransomware cuando la mayoría de los usuarios domésticos e incluso las grandes empresas toman los pasos incorrectos y hacen que sea mucho más difícil para nosotros ayudarlo a recuperar sus archivos. Por esta razón, hemos creado este artículo paso a paso para guiarlo a través del proceso de qué hacer cuando ha sido infectado por ransomware.
Entonces, ¿qué es exactamente ransomware?
Ransomware es un tipo de software malicioso que bloquea sus archivos y exige un rescate para acceder a ellos. Esta forma de malware es ahora la forma más lucrativa de delito cibernético ya que las víctimas se sienten amenazadas de pagar, incluso si no hay garantías de recuperar los datos.
¿Debo pagar el rescate?
Antes de seguir, aquí hay un consejo: no pague el rescate. Pagar a los delincuentes solo alienta nuevos ataques.
Entendemos que, en particular para las empresas más grandes, el pago parece ser la mejor opción para recuperar archivos y evitar la posible vergüenza de admitir una brecha de seguridad o medidas de seguridad de TI inadecuadas.Sin embargo, en muchos casos, incluso después de pagar grandes sumas de dinero, los usuarios aún no reciben sus archivos.
Estamos aquí para ayudar. Sin ataduras.
Emsisoft se enorgullece de ser socio asociado de No More Ransom, una iniciativa de la Unidad Nacional de Delitos contra la Alta Tecnología de la policía de los Países Bajos, el Centro Europeo de Cibercrimen de Europol y otras dos compañías de ciberseguridad. Nuestro objetivo compartido es ayudar a las víctimas de ransomware a recuperar sus datos encriptados sin tener que pagar.
El ransomware de la lucha de Emsisoft en primera línea a diario, lo que significa que estamos en la mejor posición para ofrecerle asesoramiento gratuito y fácil de seguir sin ningún compromiso. Vamos a empezar.

¡He sido infectado con ransomware! ¿Que debería hacer?

Aquí está una palabra de nuestro Jefe de Tecnología y Jefe del Laboratorio de Investigación de Malware de Emsisoft, Fabián Wosar:
"Las infecciones de ransomware son únicas en muchos aspectos. Lo que es más importante, muchos de los instintos naturales, que suelen ser correctos cuando se trata de infecciones de malware, pueden empeorar las cosas cuando se trata de ransomware ".
Entonces, toma un respiro y sigue estos pasos:

1. Crea una imagen o copia de seguridad del sistema

Algunas cepas de ransomware tienen cargas ocultas que eliminarán y sobrescribirán todos los archivos cifrados después de que haya transcurrido un cierto tiempo. Los descifradores pueden no ser cien por ciento precisos, ya que el ransomware a menudo se actualiza o simplemente tiene errores y puede dañar los archivos en el proceso de recuperación. En estos casos, hemos encontrado que una copia de seguridad cifrada es mejor que no tener ninguna copia de seguridad. Entonces, antes que nada, lo instamos a:
Cree una copia de seguridad ahora de todos sus archivos cifrados antes de hacer cualquier otra cosa. 

2. Deshabilite cualquier software de optimización y limpieza del sistema

Una gran cantidad de cepas de ransomware se almacenan, y otros archivos necesarios, en su carpeta Archivos temporales . Si usa herramientas de limpieza u optimización del sistema como CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk / Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic o cualquier otro producto comparable, debe desactivar estas herramientas de inmediato.
Importante: asegúrese de que no haya corridas automáticas programadas. De lo contrario, estas aplicaciones pueden eliminar la infección u otros archivos ransomware necesarios de su sistema. Necesitaremos estos luego para determinar con qué tipo de ransomware te infectaron.

3. Poner en cuarentena, pero no eliminar!

Es posible que su solución antimalware ya haya puesto en cuarentena el archivo infectado. ¡Está bien! Pero, no borres ningún archivo. Para averiguar qué es exactamente lo que el ransomware le ha hecho a su computadora, necesitaremos que el ransomware sea ejecutable.
Nota: Está bien desactivar la infección inhabilitando las entradas de ejecución automática que la señalan o poniéndola en cuarentena. Sin embargo, es importante no eliminarlo de la cuarentena o eliminar los archivos maliciosos de inmediato sin una copia de seguridad completa.
Para identificar una variedad de ransomware y ofrecer un descifrador, necesitaremos acceder al archivo malicioso. Además, puede ser útil ver un archivo encriptado de muestra (idealmente nada sensible, como un ícono de sistema o similar) para identificar exactamente qué método de encriptación se usó y si cualquier característica identificable coincide con cepas conocidas de ransomware.

4. Víctimas del servidor: identifique el punto de entrada y ciérrelo

Recientemente, hemos visto muchos compromisos de servidores. Ransomware accede al servidor por fuerza bruta. Las contraseñas de los usuarios se activan rápidamente en el servidor a través de Remote Desktop Protocol (RDP).
Le sugerimos firmemente que verifique sus registros de eventos para una gran cantidad de intentos de inicio de sesión en rápida sucesión.
Si encuentra tales entradas o si encuentra que su registro de eventos está completamente vacío, su servidor fue pirateado a través de RDP. Es crucial que cambie todas las contraseñas de la cuenta de usuario de inmediato. También sugerimos deshabilitar RDP si es posible o al menos cambiar el puerto.
Importante: revise todas las cuentas de usuario en el servidor para asegurarse de que los atacantes no creen ninguna cuenta de puerta trasera que les permita acceder al sistema más adelante.

5. Identifica el tipo de ransomware

Si su sistema está infectado, pero no sabe con qué tipo de ransomware se ha infectado, MalwareHunterTeam le ayuda. ID Ransomware , que es un servicio gratuito que verifica las firmas específicas del código para determinar qué cepa es responsable de la pérdida de datos. Una vez que sepa qué cepa de ransomware está tratando, es mucho más fácil ver si hay disponible un desencriptador adecuado.
Servicios como VirusTotal también le permiten escanear archivos maliciosos en busca de firmas. Estos servicios son increíblemente útiles, y si se comunica con Emsisoft para obtener asistencia, probablemente le pediremos los resultados de cualquiera de estos servicios. Al proporcionarlos de inmediato, puede acelerar el proceso de recuperar sus archivos.

5.1 Descifrador disponible? Úselo!

Una vez que sepa con qué tipo de ransomware ha sido infectado, consulte decrypter.emsisoft.com para obtener el desencriptador que necesita.Trabajamos incansablemente para garantizar que los descifradores más actualizados se enumeran aquí. Sin embargo, tenga en cuenta que no hay garantía de que el descifrador que necesita esté disponible. Ransomware mejora cada día y es más sofisticado todo el tiempo.
Si tiene el desencriptador que necesita, siga las instrucciones proporcionadas en la página de descarga para ejecutar el programa. ¡Asegúrate de decirnos que funcionó!

5.2 No hay descifrador disponible? ¡Ayúdanos!

Para descubrir nuevas cepas de ransomware, nuestro laboratorio debe conocerlas lo antes posible.
Contáctenos en el foro y díganos que se ha infectado. Nuestro servicio de primeros auxilios ransomware viene sin ataduras y es gratuito tanto para clientes como para no clientes de Emsisoft. Alternativamente, también puede comunicarse con nosotros por correo electrónico . En ambos casos, incluya el archivo malicioso con el correo electrónico o el enlace de VT del archivo, la URL de resultado de IDRansomware y un par de archivos que consta de un archivo cifrado y la versión original. Puede encontrar una versión original de un archivo usando las imágenes predeterminadas de Windows, los archivos que ha descargado o los archivos de los programas que ha instalado.
Si esta es tu primera vez en nuestros foros y estás teniendo problemas con alguno de los pasos, no dudes en consultar esta publicación en el foro para obtener instrucciones sobre cómo publicar y preguntas frecuentes.
Como puede ver, hay muchos pasos prácticos que puede seguir para bloquear o limitar el impacto del ransomware en sus datos. Entonces, ¡no entres en pánico! Emsisoft estará a su lado durante todo el proceso.

¡Que tengas un buen día (sin ransomware)!

Mira como Emsisoft detiene el Ransomware..


Tomado de: https://blog.emsisoft.com/en/26164/how-to-remove-ransomware-the-right-way-a-step-by-step-guide/

Comentarios

Entradas populares de este blog

Las 10 mejores resoluciones de seguridad tecnológica de Año Nuevo

Cómo crear, gestionar y almacenar contraseñas de forma segura