El ataque masivo y global del RANSOMWARE

 
El pasado mes de Mayo un enorme ciberataque golpeó a miles de sistemas informáticos en decenas de países y afectó a muchos equipos de red de más de 70 países. El ransomware no tiene como objetivo robar datos sino causar un secuestro exprés cifrando los archivos del equipo infectado para posteriormente pedir un rescate vía BitCoins, en este caso 300 USD. Este se distribuye con un dropper enlazado en un correo electrónico que no es detectado por muchos motores de antimalware.
 
Los análisis del Instituto Nacional de Ciberseguridad (INCIBE) de España recogían que el softwaremalicioso que provocó el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry.
Este ataque se neutralizó tras la difusión de un parche de Windows por parte de Microsoft.
 

¿Qué pasa al instalarse en nuestro equipo?

 
Tras instalarse en el equipo, ese virus bloquea el acceso a los ficheros del ordenador afectado pidiendo un rescate para permitir el acceso. WanaCrypt0r cifra archivos del disco duro con extensiones como .doc .dot .tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y aumenta la cuantía del rescate a medida que pasa el tiempo.
 

¿Qué hacemos después de un ciberataque?

 
El Incibe, a través del CERT de Seguridad e Industria (CERTSI), dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware. La víctima puede contactar con el servicio a través del correo incidencias@certsi.es.
 

¿Pagamos para recuperar nuestros archivos?

 
El Incibe recomienda no pagar el rescate, porque no existen garantías de recuperar los datos y la víctima puede sufrir ataques posteriores. El Instituto también señala que esa práctica fomenta el negocio de los ciberdelicuentes, que pueden empezar a pedir cifras más altas, una vez efectuado el primer pago.
 

¿Cómo desinfectamos el ordenador?

 
Para eliminar la infección se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte), según la importancia de los datos afectados.
 
Una vez más, este ataque demuestra que el ransomware es una poderosa arma que puede utilizarse contra los consumidores y las empresas por igual.