Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/mdr/help/es-es/index.html?contextId=Malware

Flujo de trabajo de remediación por infección de ransomware

Siga estos pasos para remediar un ataque de ransomware.

Introducción

Aviso

Cuando remedia un ataque, es probable que elimine las pruebas de cómo se produjo. Se recomienda hacer una copia de seguridad de los sistemas afectados y de los archivos que haya dejado el ataque. Si no está seguro de que los archivos sean seguros, puede comprimirlos para evitar que se ejecuten.

Más recursos

Cómo utilizar Microsoft Autoruns para localizar malware no detectado

ID de eventos de Windows interesantes - Investigación de malware/general

Ransomware: Eliminación y recuperación

Ransomware: Información y prevención

Definir el alcance del problema

Para comprender el alcance del problema, haga lo siguiente:

  1. Identifique todos los servidores y estaciones afectados.

    Los dispositivos afectados tienen archivos cifrados y notas de rescate en sus carpetas.

    1. Si encuentra archivos cifrados y notas de rescate en los recursos compartidos de archivos, debe comprobar qué usuario o dispositivo los creó.
    2. Asegúrese de guardar varias muestras de los archivos cifrados y de las notas de rescate en un lugar accesible para poder identificarlos más adelante.

  2. Averigüe qué cuenta se ha visto comprometida.

    Si sabe qué cuenta se ha visto comprometida, puede averiguar el alcance máximo de los archivos, locales y remotos, que el ransomware ha afectado desde ese dispositivo, ya que los permisos de la cuenta de usuario lo limitan. Para localizar la cuenta vulnerada, haga lo siguiente:

    1. Busque un archivo cifrado, haga clic con el botón derecho en él y seleccione Propiedades.
    2. Haga clic en Detalles y busque el propietario del archivo.
    3. Tome nota de la información del propietario del archivo.

  3. También puede utilizar una carpeta para averiguar la información del propietario. Para utilizar una carpeta, haga lo siguiente:

    1. En el Explorador de Windows, vaya a una carpeta con archivos cifrados.

      Se recomienda elegir un recurso compartido de archivos de red al que puedan acceder varios usuarios.

    2. Elija la vista Detalles, que le proporciona diferentes columnas de información sobre los archivos.

    3. Haga clic con el botón derecho en el encabezado de una columna y luego haga clic en Más.
    4. Desplácese hacia abajo y seleccione Propietario en la lista y, a continuación, haga clic en Aceptar.

  4. Diferentes dispositivos infectados pueden tener diferentes cuentas comprometidas. Debe repetir este proceso en todos los dispositivos infectados y crear una lista de cuentas afectadas.

  5. Asegúrese de anotar cualquier cuenta comprometida que tenga derechos administrativos (local y de dominio).
  6. Cuando tenga la lista de cuentas, compruebe a qué recursos compartidos de archivos tienen acceso de ESCRITURA esas cuentas. Debe comprobar todos esos recursos compartidos.

Limitar el impacto del malware

Ahora que tiene los datos preliminares, necesita investigar. En primer lugar, debe evitar que el ransomware cifre más datos. Para detener el ransomware, haga lo siguiente:

  1. Apague todos los dispositivos infectados.

    Apagar sus dispositivos es la mejor forma de salvar sus datos. Cuanto más tiempo funcione un dispositivo infectado, más tiempo tendrá el ransomware para cifrar los archivos.

  2. Identifique el método de ataque del ransomware mediante Ransomware: Cómo funciona un ataque antes de hacer una prueba. Podría perder datos al seguir cifrándose los archivos.

  3. Algunos programas de ransomware se ejecutan cuando se inicia un dispositivo. Cree la imagen de un dispositivo infectado y, a continuación, inícielo para ver si los archivos aún se están cifrando.

  4. Si no puede identificar los dispositivos infectados, le costará decidir. En este punto, para salvar sus datos, apague todos los dispositivos.

    Hacer esto paraliza las cosas. Ahora tiene tiempo para continuar con su investigación.

  5. Encienda los dispositivos uno a uno para trabajar con ellos. Limpie un dispositivo concreto y pase al siguiente.

    Le recomendamos que se ponga en contacto con nosotros y adquiera nuestro servicio Managed Detection and Response. Se trata de un equipo altamente capacitado que puede realizar esta remediación en su nombre. También puede proporcionar un análisis de la causa raíz y un asesoramiento continuo en materia de seguridad.

Identificar al autor del ransomware

Conocer el autor del ransomware le da mucha información sobre el impacto exacto al que se enfrenta. Ayuda a definir qué archivos se cifraron, el vector de infección más probable (cómo entraron) y si se enfrenta a un posible problema de persistencia. Puede ayudar a prevenir la reinfección. Si tiene una nota de rescate de un dispositivo infectado o muestras de los archivos cifrados, puede identificar al grupo de malware responsable.

Para identificar al autor, haga lo siguiente:

  1. Suba la nota de rescate o muestras a https://id-ransomware.malwarehunterteam.com/.

    Nota

    Este no es un sitio que soporte Sophos.

Mejorar la seguridad

Para mejorar su seguridad, haga lo siguiente:

  1. Si no ha migrado a Sophos Central con Intercept X y EDR, debe cambiarse.

    Esta es nuestra oferta de seguridad más avanzada y ofrece la mejor protección contra las amenazas.

    • Contiene CryptoGuard, que protege contra el ransomware.
    • Póngase en contacto con nosotros si tiene preguntas sobre por qué es fundamental o cómo migrar. Contamos con el equipo de Rapid Response que puede contratar para que le ayude con la migración.

  2. Confirme que sigue nuestras prácticas recomendadas para la configuración de la política de protección contra amenazas. Esto es importante porque su entorno se ha visto comprometido recientemente. Debe reforzar su seguridad para ayudar a prevenir la reinfección. Consulte estos enlaces para obtener más información:

  3. Asegúrese de que todos los dispositivos disponen de los parches más recientes.

    Esto protege contra muchos exploits, ya que Microsoft corrige muchas vulnerabilidades en sus actualizaciones.

  4. Actualice cualquier dispositivo que utilice versiones antiguas de sistemas operativos, como Windows Server 2003, Windows 2008 que no sea R2, Windows 7 o Windows XP.

    Los sistemas operativos Windows que no cuentan con el soporte oficial de Microsoft tienen vulnerabilidades de seguridad que no tienen parches.

  5. Compruebe que no tiene ningún dispositivo vulnerable abierto a Internet.

    Nota

    Es habitual tener abiertos los puertos SMB 445, RDP 3389 u otros. Los ciberdelincuentes pueden explotar estos puertos.

    Debe revisar los dispositivos. Debe averiguar qué puertos tiene abiertos y reducir el riesgo. Para comprobar los dispositivos, haga lo siguiente:

    1. Puede utilizar Stodan.io o Censys.io con sus IP públicas para confirmar qué puertos son visibles fuera de su entorno.
    2. Si tiene algún puerto abierto o dispositivo conectado a Internet que no sean necesarios, modifique su política de firewall para reducir su exposición.

Restaurar los datos y las operaciones normales

Ahora que ha limpiado todos sus dispositivos y los ha protegido con Sophos Central Intercept X Advanced with EDR, ya puede volver a empezar a trabajar.

Para ello, haga lo siguiente:

  1. Restaure los datos a partir de las copias de seguridad.

    Nota

    Si desea realizar un análisis de la causa raíz, necesita copias de seguridad e imágenes de los dispositivos infectados. La restauración de los dispositivos destruye estas pruebas y dificulta el análisis de la causa raíz.

    1. Utilice las copias de seguridad que realizó antes de la infección.
    2. Asegúrese de que puede acceder a los datos de los archivos de la copia de seguridad.

  2. Vuelva a conectar sus dispositivos.

    1. Si el sistema operativo está dañado o no dispone de suficientes copias de seguridad de los dispositivos infectados, deberá repararlos o reconstruirlos.
    2. Siga los procesos de reparación y reconstrucción indicados por el fabricante de su sistema operativo.

  3. Compruebe que sus dispositivos funcionan con normalidad. Para ello, haga lo siguiente:

    1. Compruebe que pueden acceder a los recursos necesarios.
    2. Compruebe que las aplicaciones se ejecutan correctamente.
    3. Realice cualquier otra prueba que necesite para confirmar que los dispositivos funcionan correctamente.

  4. Permita que los usuarios accedan a los dispositivos.

Análisis de causa raíz

Para proteger su entorno en el futuro, necesita saber cómo se produjo la infección. Así puede identificar los defectos en el diseño y la configuración de su red o entorno y le permite mejorarlos para el futuro. Para ello, realice un análisis de la causa raíz.

Para llevar a cabo un análisis de la causa raíz, debe tener copias de seguridad e imágenes de los dispositivos en su estado infectado.

Vídeo de remediación por infección de ransomware

Este vídeo detalla el flujo de trabajo de remediación por esta infección.