Menu
ransomware cyber attack map

Comunicado desde Awerty a nuestros clientes sobre el Ransomware WannaCry

, , , , , , ,

Ante la alarma por la propagación masiva de un nuevo ransomware que explota una vulnerabilidad relacionada con el protocolo SMB, utilizado en Windows para las transferencias en red, y si bien ninguno de nuestros clientes se ha visto afectado, desde AWERTY queremos transmitiros los pasos a seguir para aumentar la protección o reaccionar correctamente en caso de haber sido víctimas de un ataque.

Lo primero que hay que recordar es la necesidad de mantener siempre al día nuestros sistemas operativos. Es decir, procurar que tengan instalados todos los parches de seguridad que Microsoft, de manera periódica, va distribuyendo, teniendo en cuenta además que algunos de ellos, los más antiguos, ya no reciben soporte. Por eso resulta del todo vital, a nivel empresarial, contar con las versiones más recientes. Esta vulnerabilidad, por ejemplo, afecta a Windows XP, Vista, Server 2003, 2008, 7, 8, 8.1, 2012, 2012R2, 10 y 2016.

No hay que olvidar, además, que la vulnerabilidad fue descubierta el pasado 10 de marzo y que entre los días 13 y 17 de ese mismo mes ya estaba disponible el correspondiente parche de seguridad. El ataque masivo se ha producido dos meses después.

Este virus ransomware que se ha propagado masivamente por medio de esta vulnerabilidad, como todos los malware de este tipo, encripta los archivos del disco duro de la máquina afectada, pero adicionalmente aprovecha esta vulnerabilidad para propagarse a otros equipos conectados en la red e infectarlos. Para recuperarlos, exige el pago de una cierta cantidad económica, por medio de bitcoins. Como norma, desde AWERTY recomendamos que no se efectúe ningún tipo de pago. Por dos razones: pagar no garantiza que se vaya a recuperar los archivos secuestrados y puede desembocar además en la petición de nuevos pagos. En este caso, contar con un backup lo más actualizado posible resulta del todo fundamental.

Para prevenir a corto plazo una posible infección, recomendamos seguir los siguientes pasos:

  1. Notificar a todos los usuarios de la empresa que aumenten  las precauciones en la navegación por internet y en la apertura de correos electrónicos. En caso de recibir un correo sospechoso, merece la pena comprobar que el hipervínculo que suelen incluir lleve donde realmente  dice llevar copiando la dirección de enlace y pegándola en el navegador o,  para mayor seguridad, en el bloc de notas.
  2. Instalar todas las actualizaciones de seguridad desde Windows update. En especial la MS17-010. Importante, este parche no evita la infección, pero sí que evita la propagación del virus.
  3. Activar en los equipos que tienen información sensible (servidores de ficheros, estaciones de trabajo, etc.) el servicio de  instantáneas de volumen (para disponer un histórico de las modificaciones de los archivos). Ramsonware al encriptar el archivo, borra el fichero original, pero con dicho servicio se pueden recuperar sin acceder al servicio de Backup.
  4. Activar el servicio de Smart Screen si se utiliza Internet Explorer. Si se usa Google Chrome, activar en el apartado Privacidad la opción Protección frente a sitios web peligrosos.
  5. Desactivar aquellos recursos compartidos que no sean necesarios.
  6. Revisar las políticas de Backup. El histórico y hacer pruebas de restauración.

Para prevenir sus efectos a largo plazo, recomendamos seguir los siguientes pasos:

  1. Activar un servicio perimetral de filtro de contenidos web, filtro antiphishing y filtro antimalware.
  2. Activar servicios de protección avanzada en los servidores de correo.
  3. En caso de tener una red de más de 10 equipos, activar servicios centralizados de instalación de parches.
  4. Almacenar ficheros en gestores documentales tipo web, como, por ejemplo Sharepoint.
  5. Evitar que los usuarios de los PCs tengan derechos administrativos sobre el mismo equipo.
  6. Actualizar a la última versión de Windows, Windows 10.
  7. Hacer un estudio de vulnerabilidades de la actual infraestructura informática.

En caso de haber sido ya víctimas de este ataque, es decir, de que se detecte este virus en alguno de los equipos de nuestra empresa, recomendamos seguir los siguientes pasos:

  1. Desconectar el equipo de la red.
  2. Pasar una solución antimalware, como por ejemplo, Malwarebytes. En este caso, hay que bajarla desde otro equipo conectado a la red Internet e instalarla por medio de USB, a ser posible accediendo al equipo  desde el Modo seguro.
  3. Activar en todos los equipos de la red el Firewall de Windows con la máxima protección.
  4. Dejar el equipo en cuarentena.
  5. Buscar backups de la información. Nunca aceptar el chantaje. Tal y como ya hemos recordado, el pago no garantiza la recuperación y puede desembocar en la petición de más dinero por parte de los cibercriminales.

Finalmente, cabe recordar que haber aplicado el parche distribuido por Microsoft no evita en ningún modo la infección. Su función es prevenir que el virus pueda saltar a otras máquinas dentro de la red local. En este caso, seguir las medidas de prevención indicadas resulta absolutamente fundamental para mantener nuestra empresa protegida tanto de este como de otros tipos de malware similares.

Si tienen dudas sobre acciones a realizar sobre posibles infecciones y necesitan de apoyo por parte de nuestro departamento de Infraestructura y seguridad pueden contactar enviándonos un email a consultas@awerty.net o llamando al 936025000.

 

Departamento de sistemas de Awerty

Related Posts