Infección masiva a nivel mundial – ransomware Wanacry

¿Cómo prevenir el ataque?

• Permitir el tráfico hacia los dominios y las direcciones ip que aparecen en la siguiente imagen.
• Se recomienda y ademas lo más urgente posible la instalación del parche MS17-010.

• Bajar las actualizaciones localizadas para Windows Server, Windows XP, Windows 8
• Las nuevas variantes del ransomware aparecen regularmente. Mantenga siempre su software de seguridad actualizado para protegerse contra ellos, es decir, su Antivirus.
• Mantenga actualizado su sistema operativo y otro software.
• Las actualizaciones de software incluirán con frecuencia parches para vulnerabilidades de seguridad recientemente descubiertas que podrían ser explotadas por atacantes del Ransomware.
• El correo electrónico es uno de los principales métodos de infección de Ransomwares. Tenga cuidado con los correos electrónicos inesperados o no solicitados, especialmente si contienen enlaces y/o archivos adjuntos.
• Tenga mucho cuidado con cualquier archivo adjunto de correo electrónico de Microsoft Office que le aconseje habilitar macros para ver su contenido. A menos que esté absolutamente seguro de que se trata de un correo electrónico genuino de una fuente de confianza, no habilite las macros y, en su lugar, elimine inmediatamente el correo electrónico.
• Realizar copias de seguridad de datos importantes es la forma más eficaz de combatir la infección por ransomware. Los atacantes tienen influencia sobre sus víctimas cifrando archivos valiosos y dejándolos inaccesibles. Si la víctima tiene copias de seguridad, puede restaurar sus archivos una vez que se ha limpiado la infección. Sin embargo, las organizaciones deben asegurarse de que las copias de seguridad estén debidamente protegidas o almacenadas fuera de línea para que los atacantes no puedan eliminarlas.
• El uso de servicios en la nube podría ayudar a mitigar la infección por ransomware, ya que muchos conservan versiones anteriores de archivos, lo que le permite “retroceder” a la forma no cifrada.

En caso de que no sea posible aplicar los parches de seguridad, se debería optar por las siguientes medidas de mitigación:

• Aislar la red donde haya equipos infectados.
• Aislar los equipos infectados.
• Desactivar el servicio SMBv1.
• Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.
• Bloqueae el acceso a la red de anonimato Tor.

¿Cómo recuperar los datos cifrados?

El Instituto Nacional de Ciberseguridad de España (INCIBE) a través del CERT de Seguridad e Industria (CERTSI) dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware denominado Servicio Antiransomware.
Para poder identificar el tipo de virus y verificar si los datos son recuperables, sigue los pasos del siguiente artículo para ponerte en contacto: Nuevo Servicio Antiransomware, recupera el control de tu información.
Debido a que la prestación de este servicio de análisis y descifrado se realiza en colaboración con una entidad externa a INCIBE y a pesar de tener acuerdo de confidencialidad con la misma, es recomendable que los ficheros que nos envíe no contengan información privada o confidencial, ya que serán compartidos con la citada entidad para su análisis.
Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado.

¿Pagar sirve para recuperar mis archivos?

Se trata de ciberdelincuentes y no existe garantía alguna de recuperar los datos una vez efectuado el pago.

¿Cómo desinfectar el ordenador?

Para eliminar la infección, en principio, se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado.
Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder ya que muy probablemente tengan más información de otros usuarios afectados.