En los últimos días se está produciendo una infección masiva a nivel mundial de equipos, tanto personales como de organizaciones, por un malware del tipo ransomware que bloquea el acceso a los ficheros del ordenador afectad  tras instalarse en él; después, solicita un rescate para permitir el acceso. En este caso, también podría infectar al resto de ordenadores vulnerables de la red a la que pertenece.

Detalles

Aprovechando un fallo de seguridad (vulnerabilidad) del sistema operativo Windows, se produce la infección y propagación del virus. Aparentemente, ya existe solución para este fallo de seguridad.

Según los análisis, la versión del malware es un HydraCrypter, que pertenece a una variante de las versiones WannaCry.

Como es habitual en este tipo de malware, conocido como ransomware, tras infectar y cifrar los archivos del equipo afectado, solicita un importe de dinero para desbloquear el equipo y devolvernos nuestros datos.

Los recursos afectados son:

  • Windows XP
  • Windows Vista
  • Windows Server 2003
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

¿Cómo prevenir el ataque?

Dado que el malware aprovecha una vulnerabilidad para la que ya existe corrección, hay que actualizar el sistema operativo Windows con los últimos parches de seguridad publicados. La actualización de seguridad impide que el malware infecte el sistema y se pueda propagar fácilmente por la red. El boletín de seguridad de Microsoft que lo soluciona es MS17-010.

Además, debido a la afectación que está habiendo a nivel mundial, Microsoft también ha publicado parches de seguridad para versiones de su sistema operativo que ya no contaban con soporte oficial como son Windows XP, Windows Server 2003 y Windows 8.

Sino fuera posible aplicar los parches de seguridad, se debería desactivar el servicio SMBv1. (Panel de control / Programas / Activar o desactivar características de Windows / desactiva la casilla de verificación SMB1.0 / CIFS File Sharing Support y haz clic en Aceptar para cerrar la ventana; reinicia el sistema).

Recuperar los datos cifrados

Después de identificar el tipo de virus y verificar si los datos son recuperables, el Instituto Nacional de Ciberseguridad de España (INCIBE) a través del CERT de Seguridad e Industria (CERTSI) dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware denominado Servicio Antiransomware.

Además, si lo consideras oportuno, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado.

*Debemos tener en cuenta de que, dado que se trata de “ciberdelincuentes”, no existe garantía alguna de recuperar los datos una vez efectuado el pago.

¿Cómo desinfectar el ordenador?

-En principio, se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado para eliminar la infección. Si dispones de una licencia de algún antivirus, puedes contactar con su departamento de soporte técnico para que te indiquen como proceder, ya que posiblemente tengan más información de otros usuarios afectados.

-También puedes optar por restaurar el sistema Windows completo, actualizarlo con los últimos parches de seguridad y restaurar la información de la copia de seguridad, siempre que dispongas de copia de seguridad reciente de tu información en un soporte externo no afectado.

-En función de la importancia de los datos perdidos, se recomienda copiar de la información del disco duro en otro soporte, es decir, realizar un clonado del disco. Esto es importante si se quiere interponer una denuncia, ya que todos los archivos serán necesarios para la investigación.

Medidas preventivas para el futuro.

1.Utilizar dispositivos o medios que estén desconectados de manera habitual del sistema para realizar copias de seguridad periódicamente; los dispositivos sólo deben conectarse mientras se realiza la copia.

2.Hay que tener precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, así cómo al descargar ficheros adjuntos, aunque sean de contactos conocidos.

3.Estar atento a las actualizaciones de seguridad; sino se mantienen los equipos actualizados, se exponen a cualquier tipo de riesgos: pérdida de privacidad, robo de información, perjuicio económico, suplantación de identidad,…

4.Utilizar cuentas de usuario sin permiso de administrador. La cuenta de administrador debe limitarse a situaciones en las que necesitamos disponer de privilegios, como son realizar cambios en la configuración, instalar una nueva aplicación, dar de alta un nuevo usuario, etc…Una vez finalizadas éstas tareas, debemos seguir trabajando con una cuenta estándar.

5.Instalar software específico anti-ransomware, que ya está apareciendo para proteger a los sistemas.