¿Cómo protegerte y evitar del ransomware Emotet y Ryuk? Para que no te pase el ataque de Jerez de la Frontera
¿Cómo protegerte y evitar del ransomware Emotet y Ryuk? Para que no te pase el ataque de Jerez de la Frontera

¿Cómo protegerte y evitar del ransomware Emotet y Ryuk? Para que no te pase el ataque de Jerez de la Frontera

La alcaldesa de Jerez de la Frontera (Cádiz), Mamen Sánchez, ha afirmado en relación al ciberataque sufrido la pasada semana en el sistema informático del Ayuntamiento, que aún afecta al servicio, que han «garantizado antes la seguridad que poner un servicio en marcha que podía echar atrás todo lo que se había trabajado».

En cuanto al ataque, la alcaldesa de Jerez ha explicado que «lo primero que hubo fue una detección de correos extraños, porque el sistema que utilizan son correos que resultan familiares y es normal que pinches y ya a partir de ahí, entra.

Al final hay 50 servidores afectados y bastantes equipos informáticos. Todo comenzó con un email infectado con una variante del virus Emotet que distribuía un ransomware llamado Ryuk que encripta los ficheros y pide un rescate.

La alcaldesa ha recordado que en el Ayuntamiento hay 1.300 equipos informáticos, por lo que llevan trabajando casi una semana para restablecer el servicio, «ahora hay que ir equipo por equipo para ponerlo en activo». «El daño podía haber sido mayor, como pasó lo de Roquetas de Mar que entraron en las cuentas y transfirieron dinero, pero se protegió corriendo todo».

Los ciudadanos no han podido realizar ningún trámite desde el consistorio. El Ayuntamiento ha asegurado a sus vecinos que no ha habido ninguna fuga de datos, y que están trabajando a contrarreloj para solucionar el problema cuanto antes.

La alcaldesa ha agradecido el trabajo de los informáticos del Ayuntamiento así como del CNI, que a partir de ahora va a tener motorizado al Consistorio jerezano y se ha instalado un sistema de alerta para comunicar cualquier alerta que se produzca con el objetivo de estar prevenidos. Los responsables de seguridad siempre recomienda no abrir correos extraños. Tener los sistemas operativos actualizados, ya que en la administración hay equipos con Windows XP, Vista o Windows Server 2003 que ya no tiene parches de seguridad. Además de tener en los equipos Firewall y antivirus actualizados.

Esto no solo pasa en la Administración. Sucede a usuarios particulares, pequeñas y grandes empresas. Hace unos años un virus que puso en jaque a la red corporativa de Telefónica ha acabado expandiéndose por toda la red llamado WannaCry que encripto muchos ordenadores.

En Trece he participado en El Cascabel, dando un poco de información del ataque sufrido. Os dejo el vídeo:

Pero quiero aprovechar para dar algunas definiciones de los términos usado y unas recomendaciones de seguridad para todo el mundo

¿Qué es el Emotet?

Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Este malware ha afectado a un 7,09% de las empresas españolas.

¿Qué es Ryuk?

Es un virus de tipo ransomware que encript ael contenido de los Ordenadores. Su nombre se debe a Ryuk es un personaje ficticio de la serie de manga Death Note. RYUK es un virus muy peligroso  se introduce en el sistema mediante un email y encripta la mayor parte de los archivos almacenados, de ahí que se vuelvan inutilizable.

RYUK usa los algoritmos de cifrado RSA-4096 y AES-256. Por tanto, a cada víctima se le asignan varias claves únicas que son necesarias para recuperar los datos. Es decir secuestra los archivos del disco duro de la víctima. Infecta el sistema cuando alguien abre un archivo malicioso enviado por correo electrónico y luego se extiende silenciosamente por otras computadoras de la misma red mediante una ejecución de comandos remota a través de SMB, para lo que aprovecha una vulnerabilidad del sistema. Cuando se activa, cifra todo el contenido de los discos duros y pide un rescate en bitcoins con la amenaza de que el precio subirá si nadie ingresa el dinero.

Los ciberdelincuentes ocultan todas las claves en un servidor remoto. Por tanto, dado que es imposible recuperar los datos sin ellas, las víctimas se ven obligadas a pagar el rescate a cambio de recibir sus claves. Nosotros nunca recomendamos pagar. Es mejor tener una copia de seguridad.

Hay decenas de virus que comparten similitudes con RYUK. La lista de ejemplos incluye (sin mencionarlos a todos) FOX, WannaCrys, ShutUpAndDance, PGPSnippet y Princess. Aunque esos virus han sido desarrollados por diferentes ciberdelincuentes, su modus operandi es completamente idéntico: cada uno de ellos encripta datos y hace peticiones de pago

¿Qué es el ransomware?

El ransomware (del inglés ransom, “rescate”) es un software malicioso que bloquea el acceso a los archivos de tu computadora y te pide dinero por un código para desbloquearlos. El primer paso es infectar el sistema, algo que puede suceder cuando abres un documento extraño que recibes, por ejemplo, por correo electrónico. El código malicioso del virus podría estar oculto en un Word o un PDF. Una vez infectado el sistema, el virus se pone en contacto con un servidor central para obtener la información que necesita para activarse y pedirte el rescate. Entonces cifra el contenido de tu disco duro y te da instrucciones para realizar el pago. Normalmente te amenaza con un plazo temporal antes de borrar definitivamente los archivos o subir el precio del rescate.

El ransomware afecta a todo tipo de sistemas: Windows, Mac y Linux. Por lo que es muy peligroso.

Los troyanos bancarios multivectoriales se han convertido en una de las opciones más utilizadas por los cibercriminales para obtener rédito económico rápido. Son bandas criminales. Muchas de origen ruso que sirven para financiar grupos terroristas.

¿Cómo llegó el ciber-secuestro a mi equipo o al ayuntamiento de Jerez de la Frontera?

Para propagar el virus ransomware, los desarrolladores suelen usar troyanos en este caso Emotet que puede llegar por  correos basura, redes P2P, descargas de software no oficiales. Según parece alguien abrió un correo malicioso en un ordenado sin los parches de seguridad o antivirus actualizados. Entonces comenzó

¿Se pueden desbloquear mis archivos sin pagar?

Hay herramientas específicas contra los virus más conocidos que pueden ayudarte a desbloquear tus archivos. Pero, si estás infectado y el virus se ha activado, entonces los archivos de tu disco duro se habrán cifrado con uno de los algoritmos más populares de la criptografía moderna. Lo más probable es que no consigas descifrarlos. Lo que puedes hacer es formatear el disco para que tu PC vuelva a funcionar con normalidad, pero necesitarás una copia de seguridad anterior al ataque para recuperar también el contenido. Si no tienes una copia, no hay mucho más que puedas hacer. Excepto si te atreves a pagar pero nadie te asegura que te desencripten los archivos.

Recomendaciones de seguridad ¿Cómo puedo protegerme del ransomware como Ryuk y Emotet?

  1. Mantén el sistema operativo actualizado y no uses versiones sin soporte oficial. Abre Windows Update o la Mac App Store e instala todas las actualizaciones de seguridad del sistema. Lo sé, es incómodo que Windows se reinicie cada dos por tres o tarde una eternidad en apagar porque hay una actualización pendiente, pero asegúrate de que todos los parches se descargan solos porque es crucial para que estés protegido contra los ataques
  2. No usar sistemas operativos antiguos: No uses sistemas obsoletos: Windows XP, por ejemplo, no tiene parche de seguridad contra el último ataque de ransomware. Es molesto tener que mantenerse al día, ¡pero Windows XP tiene ya dieciséis años!
  3. Configura una copia de seguridad automática de tus archivos. No es tan fastidioso como crees: solo necesitas un disco duro externo. En Windows 10 ve a Configuración > Actualizaciones y seguridad > Copia de seguridad > “Agregar unidad” y asegúrate de que todas tus carpetas importantes estén seleccionadas para copiarse periódicamente en el disco externo. En Mac, ve a Aplicaciones > Preferencias del sistema > Time Machine > “Seleccionar disco de copia de seguridad” para hacer lo mismo. Estas copias se realizan automáticamente en segundo plano cuando se detectan cambios en tus documentos. También puedes usar la nube: Google Fotos tiene espacio ilimitado para tus imágenes, pero hay opciones de pago como Amazon, iCloud y Dropbox que puedes usar para realizar copias en Internet. más vale prevenir que curar y llorar por lo perdido. otra opción son tener un disco externo USB para copiar los archivos importantes.
  4. No abras enlaces ni archivos sospechosos, especialmente si te llegan por correo electrónico o redes sociales. Cualquiera puede dejar un Word, un PDF o una imagen infectada en tu ordenador, pero lo más probable es que el virus te llegue por correo electrónico. Si no confías en el remitente o no esperabas que esa persona te escribiese, no abras ningún archivo ni enlace. También las páginas web pueden inyectarte malware sin que hagas doble clic sobre ningún archivo. Para luchar contra eso, actualiza siempre el navegador además del sistema.
  5. Desconfía de los archivos .exe y ten cuidado con las extensiones ocultas. Windows como Mac ocultan las extensiones de los archivos conocidos por defecto; entonces, si alguien te manda un archivo llamado “archivo.pdf.exe”, tú solo verás “larchivo.pdf”. Pero cuidado: los .exe son archivos ejecutables que podría instalar un virus en tu PC. En Windows puedes solucionarlo en  Configuración > Opciones del explorador > Ver, y desmarcando la opción “Ocultar las extensiones de archivo para tipos de archivo conocidos”. En Mac puedes hacer lo mismo desde Finder > Preferencias > “Ocultar extensiones de nombres de archivo”. Nunca abras un exe de una fuente desconocida o de poca confianza.
  6. Ten el antivirus de Microsoft actualziado y descarga algún programa antimalware reputado. Si estás en Windows, asegúrate de que el antivirus de Windows Defender y el firewall de Windows estén activados y actualizados. También puedes descargar un programa antimalware o antivirus buenos

¿Qué hago si ya estoy infectado?

Si todo lo anterior falló y sospechas que estás infectado, desconéctate de Internet antes de que el virus contacte con el servidor para activarse, con suerte estarás a tiempo de salvar tus archivos. Si no has llegado a tiempo y los hackers han conseguido secuestrar tu disco duro, debes desconectar el sistema igualmente antes de que infecte a otras computadoras de la red. Como ya tienes copia de seguridad de tus archivos, ahora puedes usar “Restaurar sistema” en Windows o “Time Machine” en Mac para volver al estado anterior al ataque. Yo recomiendo tener copias de seguridad y si puedes mejor formatear el equipo e instalar todo de nuevo. aunque hay antivirus que pueden limpiarlo. Yo no me fio de una limpiaza completa de un sistema comprometido.

Por eso están tardan tanto tiempo en arreglarlo.

Por ultimo si tiene Windows 10 Fall creators. Tenga en cuenta que la actualización Windows 10 Fall Creators incluye la función «Acceso controlado a carpetas» que bloquea los intentos de los virus encriptadores para cifrar sus archivos. Por defecto, esta función protege de forma automática los archivos almacenados en Documentos, Imágenes, Vídeos, Música, Favoritos, así como las carpetas del escritorio.

Espero que os sirva este artículo.

Te interesa

Kingston lanza al mercado su nuevo SSD para centros de datos, el DC450R

Kingston lanza al mercado su nuevo SSD para centros de datos, el DC450R

Kingston lanza al mercado su nuevo SSD para centros de datos, el DC450R. Se trata …

Últimas noticias de Frikipandi.com

Las noticias se actualizan cada 15 minutos.