Actualizado 19/05/2017 - 11:15h. Se está produciendo una infección masiva a nivel mundial de equipos tanto personales como en organizaciones, por un malware del tipo ransomware que tras instalarse en el equipo, bloquea el acceso a los ficheros del ordenador afectado y como es típico en este tipo de virus, solicita un rescate para permitir el acceso. Además en este caso, podría infectar al resto de ordenadores vulnerables de la red a la que pertenece.

Recursos afectados

  • Windows XP
  • Windows Vista
  • Windows Server 2003
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Solución

¿Cómo prevenir el ataque?

Actualizar el sistema operativo Windows con los últimos parches de seguridad ya que el malware aprovecha una vulnerabilidad para la que ya existe corrección. Dicha actualización de seguridad impide que el malware infecte el sistema y se pueda propagar fácilmente por la red. El boletín de seguridad de Microsoft que lo soluciona es MS17-010.

Debido a la afectación que está habiendo a nivel mundial, Microsoft ha decidido publicar parches de seguridad para versiones de su sistema operativo que ya no contaban con soporte oficial como son Windows XP, Windows Server 2003 y Windows 8. Puedes descargar los parches de seguridad para estas versiones desde esta web de Microsoft.

En caso de que no sea posible aplicar los parches de seguridad se debería desactivar el servicio SMBv1. Para ello:

- Abre el Panel de control, haz clic en Programas y, a continuación, haz clic en Activar o desactivar características de Windows.

- En la ventana Características de Windows, desactiva la casilla de verificación SMB1.0 / CIFS File Sharing Support y, a continuación, haz clic en Aceptar para cerrar la ventana.

- Reinicia el sistema.

Además, fruto de las investigaciones realizadas por el CERTSI de INCIBE, puede haber equipos en España infectados y para los cuales el malware no ha sido activado. Puedes comprobar si algún equipo de tu red está en esta situación haciendo uso del Servicio AntiBotnet.

¿Cómo recuperar los datos cifrados?

El Instituto Nacional de Ciberseguridad de España (INCIBE) a través del CERT de Seguridad e Industria (CERTSI) dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware denominado Servicio Antiransomware.

- Para poder identificar el tipo de virus y verificar si los datos son recuperables, sigue los pasos del siguiente artículo para ponerte en contacto con un técnico: Nuevo Servicio Antiransomware, recupera el control de tu información.

- Debido a que la prestación de este servicio de análisis y descifrado se realiza en colaboración con una entidad externa a INCIBE y a pesar de tener acuerdo de confidencialidad con la misma, es recomendable que los ficheros que nos envíe no contengan información privada o confidencial, ya que serán compartidos con la citada entidad para su análisis.

- Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado: http://www.osi.es/es/reporte-de-fraude

¿Pagar sirve para recuperar mis archivos?

Se trata de ciberdelincuentes y no existe garantía alguna de recuperar los datos una vez efectuado el pago.

¿Cómo desinfectar el ordenador?

- Para eliminar la infección, en principio, se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado (https://www.osi.es/herramientas). Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder ya que muy probablemente tengan más información de otros usuarios afectados.

- Si dispones de copias de seguridad reciente de tu información en un soporte externo no afectado, puedes optar también por restaurar el sistema Windows completo, actualizarlo con los últimos parches de seguridad y restaurar tu información de la copia de seguridad.

- Dependiendo de la importancia de los datos perdidos, es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte). El clonado es importante ya que si se quiere interponer una denuncia todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrar los archivos en un futuro.

- Cuando recuperes la normalidad, no te olvides de activar las siguientes medidas preventivas: 

1. Realiza copias de seguridad periódicamente en dispositivos o medios que estén desconectados de manera habitual del sistema, solo deben estar conectados mientras se realiza la copia. 

2. Ten precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos. También al descargar ficheros adjuntos aunque sean de contactos conocidos.

3. Permanece atento a las actualizaciones de seguridad. Si no mantienes tus equipos actualizados te expondrás a todo tipo de riesgos: robo de información, pérdida de privacidad, perjuicio económico, suplantación de identidad, etc.

4. Usa cuentas de usuario sin permisos de administrador. El uso de la cuenta de administrador debe limitarse a aquellas situaciones en las que necesitamos disponer de privilegios: realizar cambios en la configuración, instalar una nueva aplicación, dar de alta un nuevo usuario, etc. Al finalizar estas tareas, debemos seguir trabajando con una cuenta estándar.

5. Instalar software específico anti-ransomware. Está apareciendo software de este tipo para proteger a los sistemas. Varias empresas tienen productos en esta línea como Antiransom (Security By Default), CryptoPreventMalwareBytes (beta), Bitdefender (BDAntiransomware).

Detalles

El método de infección y propagación del ransomware se produce aprovechando un fallo de seguridad (vulnerabilidad) del sistema operativo Windows para la que aparentemente ya existe solución. Probablemente el malware ha llegado a través de un adjunto. La versión del malware según los análisis es WanaCrypt0r, una variante de WCry/WannaCry.

Tras infectar y cifrar los archivos del equipo afectado, como es habitual el ransomware, como así se conoce a este tipo de malware, solicita un importe de dinero para desbloquear el equipo a través de una ventana de apariencia similiar a la captura de pantalla que mostramos a continuación.

Captura de pantalla gusano WanaCry