Guía definitiva de protección contra Ransomware (Parte V)

Plan de respuesta contra ransomware: qué hacer después de un ataque.

Se están haciendo llamadas telefónicas, el personal luce asustado y las pantallas muestran un mensaje con letras rojas. Su negocio ha cesado sus operaciones, y la única certeza es que habrá un impacto financiero. La pregunta es qué tan grande. Así que ahora es el momento de mantener la calma y trabajar con su Plan de respuesta contra Ransomware.

Como alguien responsable de reparar el ataque de ransomware, el truco está en que tiene un plan, lo ha probado y tiene copias de seguridad listas para funcionar. Pero, ¿qué debería estar incluído en su plan de respuesta?

En la entrega anterior, nos enfocamos en las Copias de seguridad y analizamos si proveían la protección adecuada contra un ataque de ransomware. En esta ocasión, observaremos los procesos y los puntos de decisión a considerar al hacer un plan de respuesta.

 

Para pequeñas y medianas empresas

Pymes: Plan de respuesta contra Ransomware.

A continuación hay 4 pasos clave en un plan de respuesta de ransomware. Cada uno debe ser revisado y probado antes de ser aplicado a su negocio u organización.

 

 

 

1- Comunicar y coordinar

La comunicación es crítica. Reúna a todas las personas que puedan tomar las decisiones y realizarán las tareas en la misma área (sala de guerra), mantengan la calma y trabajen para lograr un resultado exitoso. Fácil de decir, pero tener un plan de respuesta significa que lo que hay que hacer está claramente establecido. Pase copias impresas. Todas las partes involucradas en la respuesta ahora están coordinadas y siguen los pasos de respuesta como se documenta.

2- Aislar todas las máquinas y copias de seguridad.

  • Desinfectar la herida
    Tan pronto como se detecte el ransomware, todas las máquinas deben desconectarse de la red para evitar que la infección se extienda tirando de los cables de red y apagando las máquinas. Esto incluye conexiones a otras redes, sitios y dispositivos remotos.
  • Poner en cuarentena las copias de seguridad
    Una recuperación necesita copias de seguridad no infectadas, por lo que su plan de copias de seguridad debe incluir copias de seguridad que no estén en línea y, por lo tanto, sean seguras. Los destinos de respaldo como dispositivos NAS y unidades extraíbles también deben aislarse. Recupere medios de copia de seguridad externos para que estén listos para usar.

3- Comprende tus opciones

Ahora que se han tomado las medidas inmediatas para mitigar el impacto, puede evaluar lo que sucedió, determinar el alcance de la infección y encontrar la mejor manera de avanzar.

  • Confirmar la infección
    Algunos malware que dicen ser ransomware son solo un mensaje en pantalla que solicitan un pago de bitcoin. Encienda una máquina infectada y confirme que es un ransomware real y que los datos han sido encriptados.
  • Comprender el ransomware
    Revise todo lo conocido sobre su variedad de ransomware. Aprenda de aquellos que lo han enfrentado, específicamente: ¿existen soluciones conocidas y este ransomware presenta algún riesgo para las copias de seguridad y las recuperaciones? Si hay un aviso de rescate en la pantalla, toma una foto.
  • Conozca el daño
    Qué se ha infectado y qué se pudo haber infectado. Realice una auditoría rápida para identificar el alcance de la infección. Vea si alguna máquina no ha sido infectada.

Preguntas útiles:

preguntas útiles ransomware

  • ¿Qué máquinas se sabe que están infectadas?
  • Las máquinas no mostraron signos de infección, pero pueden estar infectadas.
  • Si tiene varios sitios o LAN, se encontró ransomware en otras ubicaciones.
  • ¿Se apagó alguna máquina de la empresa? Estas pueden estar limpias.

 

4- Comience a recuperar sus servidores y escritorios

Una vez que sepa lo que estaba infectado y tenga listas las copias de seguridad y el personal, puede recuperar sus máquinas utilizando sus copias de seguridad. Este proceso también debe documentarse como parte de su Plan de respuesta de Ransomware o como un Plan de recuperación de desastres independiente.

Para obtener mejores resultados, estas son nuestras recomendaciones para la recuperación:

  1. Recuperar de copia de seguridad a nuevo hardware , lo que minimiza la posibilidad de reinfección. Es muy poco probable que el hardware recién comprado contenga ransomware en él.
  2. Si se debe utilizar el hardware existente, limpie por completo la máquina y vuelva a generarla desde el sistema operativo, o realice un control de daños. Sin embargo, no podemos recomendar este método porque todavía existe el riesgo de que formatear los discos de la máquina no elimine completamente el malware; se sabe que infecta el BIOS / UEFI firmware, por lo que puede volver a infectar la máquina.
  3. Recomendamos enfáticamente no reutilizar una máquina previamente infectada y confiar en una herramienta de eliminación de malware para limpiarla. Si bien estas herramientas pueden ser efectivas, nunca pueden garantizar el éxito.

 

Para Grandes empresas

Grandes empresas: Plan de respuesta contra Ransomware.Con un negocio más grande, también puede haber consideraciones de accionistas, legales y de mercado. Esto significa que a menudo se siguen pasos adicionales.

 

Posibles pasos a sumar para organizaciones más grandes:

  • Configure una sala de incidentes y salas en centros regionales para gestionar la respuesta
  • Informar a los interesados
  • Contactar consultores especializados
  • Contactar consultores especializados

 

Cosas a considerar durante la respuesta:

  • No sabe cuánto tiempo ha estado la infección de ransomware en su red. Las máquinas que cree que son seguras pueden tener instalado ransomware.
  • Las máquinas se pueden encender para confirmar una infección si están aisladas, pero esto puede permitir que una infección parcialmente completa continúe encriptando datos locales.
  • Puede iniciar máquinas desde unidades externas utilizando herramientas de detección de virus para verificar si hay ransomware sin que se ejecute el ransomware, porque la computadora en sí no está iniciada.
  • Las máquinas o LAN no infectadas brindan la oportunidad de reanudar las funciones comerciales, PERO debe asegurarse de que estén limpias antes de conectarlas y usarlas.
  • La única forma de asegurarse de haber eliminado el ransomware de su red es realizar una recuperación completa de todas las máquinas. De hecho, también debe reemplazar los discos duros primero.

Sólo queda una entrega más, y habremos terminado con nuestra Guía definitiva contra el Ransomware. Si quiere comenzar desde ahora a protegerse contra estos peligrosos ataques, le dejamos a continuación nuestra recomendación de Backup Assist.

Prueba BackupAssist gratis y completamente funcional por 30 días, y obtén 15 días de asistencia preventa.

Por qué descargar BackupAssist:

– Backup y restauración granular para Windows.

– Gestión de múltiples medios de almacenamiento, incluso en la nube.

– Administración y monitorización centralizada y remota.

Start typing and press Enter to search

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y ofrecer contenidos de interés. Al continuar con la navegación entendemos que se acepta nuestra Política de cookies. Política de cookies ACEPTAR

Aviso de cookies
Social Media Auto Publish Powered By : XYZScripts.com
Nuevos enfoques en ciberseguridadseguridad de las empresas