NAKIVO > Blog > Multiplatform

Ataques de ransomware y recuperación de datos: Panorama completo

Actualizado: mayo 6, 2024

Written by: NAKIVO Team

Dada la pérdida de datos y el tiempo de inactividad que provocan, los ataques de ransomware son una amenaza peligrosa para las empresas de cualquier sector. El rescate medio en 2023 ha alcanzado los 1,54 millones de dólares, según Sophos. Por desgracia, la intensidad de los ataques de ransomware aumenta año tras año. Todo el mundo está en peligro. Después de instalarse en un ordenador, el ransomware elimina o corrompe los datos utilizando potentes algoritmos de cifrado.

Los actores maliciosos detrás del ransomware suelen exigir una suma de dinero (un rescate) para liberar los datos y que vuelvan a estar disponibles. Sin embargo, además de incentivar a los delincuentes, estos pagos no garantizan que se obtenga acceso completo a los datos utilizables. En esta entrada del blog se explica cómo recuperarse de un ataque de ransomware de forma eficaz y, al mismo tiempo, evitar transacciones con los atacantes.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Qué hacer tras un ataque de ransomware

A pesar de las numerosas medidas preventivas disponibles, sigue existiendo la posibilidad de que su organización sea víctima de un ataque de ransomware. Las siguientes prácticas pueden ayudarle a minimizar el impacto de un ataque de ransomware en caso de que se produzca. Si sus máquinas se infectan con ransomware, siga estas recomendaciones antes de recuperar archivos del ransomware.

  • Desconecte el dispositivo infectado. En cuanto detecte que un equipo está infectado con malware, debe desconectarlo inmediatamente de la red y de los dispositivos de almacenamiento externos. De este modo, puede asegurarse de que otras máquinas y sistemas de su infraestructura no se infecten también. Este paso le permite guardar los datos no afectados y reducir la cantidad de trabajo necesario para recuperar archivos del ransomware.

    Después, identifique el número de máquinas que se han visto realmente afectadas por el ataque de ransomware y busque actividades sospechosas en su infraestructura.

  • Identifique el tipo de ransomware. Hable con la persona que detectó el problema en primer lugar. Pregúnteles qué estaban haciendo antes del incidente, si habían recibido correos electrónicos con archivos adjuntos sospechosos y qué archivos habían descargado recientemente. Identificar el tipo de ransomware proporciona información valiosa que puede utilizarse para detectar vulnerabilidades en su sistema de protección de datos y modificarlo en consecuencia.

    Además, si consigue determinar el tipo de ransomware, podrá saber exactamente cómo están afectados sus archivos (es decir, si están cifrados o bloqueados). Entonces podrá comprender las posibles repercusiones de no pagar el rescate y qué estrategia debe utilizarse para recuperarse con éxito del ataque de ransomware.

  • Informe del problema. Cuando imparta formación a sus empleados, explíqueles que es importante que notifiquen al equipo de asistencia informática cualquier actividad sospechosa en sus equipos. De este modo, los profesionales de TI pueden responder al ataque de ransomware a tiempo, antes de que se produzcan daños graves. Después, informa del ataque de ransomware a las autoridades (por ejemplo, al FBI si estás en Estados Unidos) y proporciónales toda la información necesaria sobre el incidente. Informar a las autoridades puede ayudar a prevenir futuros ataques del mismo autor o autores del ransomware.
  • No pague el rescate. Las fuerzas del orden desaconsejan acceder a las peticiones de los atacantes, ya que ello fomenta aún más ataques de ransomware en el futuro. Los hackers que buscan ganar dinero rápido te verán como un blanco fácil para sus futuros ataques. Además, en la mayoría de los casos, pagar el rescate no garantiza que los atacantes desbloqueen o descifren los datos como prometieron. Recuerde que está tratando con delincuentes a los que sólo les interesa el beneficio.
  • Identificar el impacto del ataque de ransomware. Debe determinar cuántos datos se han corrompido, cuántas máquinas se han infectado como resultado del ataque y cuánto tiempo se tardará en recuperarse del ataque. Además, evalúe la criticidad de los datos no disponibles y determine si pueden recuperarse sin pagar el rescate.
  • Recupera tu sistema del ransomware. Después de eliminar el ransomware de sus ordenadores, puede iniciar la recuperación del ataque de ransomware.

Opciones de recuperación de archivos cifrados por ransomware

Existen múltiples métodos para la recuperación de datos tras un ataque de ransomware. La eficacia de estos métodos varía en función de la situación.

Utilizar las herramientas integradas en el sistema operativo

Si utiliza Windows 10, puede intentar utilizar una utilidad Restaurar sistema de Windows para recuperar los ajustes del sistema y los ajustes del programa desde un punto de recuperación creado automáticamente. No todos los datos pueden restaurarse con este método. El ransomware moderno puede desactivar Restaurar sistema y eliminar o corromper los puntos de recuperación de Windows. En este caso, este método es ineficaz.

Utiliza la herramienta de descifrado de ransomware

Si ha detectado el tipo y la versión del ransomware, intente encontrar la herramienta de descifrado proporcionada por los investigadores de seguridad. Las herramientas de descifrado no están disponibles para cada versión de ransomware. También es cada vez más raro encontrar una herramienta de descifrado hoy en día.

Utilizar software para la recuperación de archivos borrados

Si el ransomware no ha sobrescrito los archivos del disco y ha llenado la superficie del disco con ceros o datos aleatorios, existe la posibilidad de que puedas recuperar algunos datos críticos. Escanear la superficie del disco requiere mucho tiempo. Los nombres de archivo después de la recuperación pueden perderse, y sus nombres pueden ser como RECOVER0001.JPG, RECOVER0002.JPG, etc.

Recuperar datos de un backups

El punto principal de este método es que debe prepararse con antelación y no esperar a que el ransomware infecte sus máquinas. Si no has hecho backups antes del ataque de ransomware, este método no se aplicará. Hay que prepararse con antelación y hacer backup de los datos a intervalos regulares. Las prácticas recomendadas para hacer backups recomiendan seguir la regla 3-2-1 y almacenar los backups de forma externa y/o offline para recuperarse de un ataque de ransomware. Para ello, puede utilizar la nube, la cinta y/o el almacenamiento de backups inmutables.

La mejor forma de hacer backups es utilizar soluciones dedicadas de protección de datos que sean compatibles con distintos tipos de cargas de trabajo e infraestructuras y que permitan aplicar la regla de backup 3-2-1.

Una de estas soluciones es NAKIVO Backup & Replication. La solución de NAKIVO le permite aumentar el rendimiento de backups, garantizar la recuperabilidad de los datos y mejorar la recuperación de ransomware. La solución es compatible con la protección de datos para servidores físicos, máquinas virtuales (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), instancias de Amazon EC2 y Microsoft 365. Con la solución, puedes:

  • Realice backups y replicación incrementales basados en imágenes y coherentes con las aplicaciones.
  • Cree fácilmente copias de backups sin intervenir en los hosts de origen ni en las máquinas virtuales (VM).
  • Almacenar backups en un sitio remoto, una nube pública o cinta.
  • Habilite la inmutabilidad para repositorios locales basados en Linux o en la nube de Amazon S3.
  • Elija entre una variedad de opciones de recuperación flexibles, incluido el arranque instantáneo de máquinas virtuales, la recuperación granular y la recuperación P2V de máquinas físicas como máquinas virtuales VMware vSphere.
  • Cree flujos de trabajo de recuperación ante desastres organizando diversas acciones y condiciones en una secuencia automatizada.

¿Cuánto se tarda en recuperarse de un ransomware?

El tiempo necesario para recuperar los archivos cifrados por el virus ransomware depende de la cantidad de datos dañados en los ordenadores infectados y del método utilizado para la recuperación del ransomware. Cuando estimamos el tiempo necesario para la recuperación tras un ataque de ransomware, nos referimos a la recuperación de datos y a que todos los sistemas vuelvan a estar en línea con las cargas de trabajo restauradas.

El tiempo necesario para recuperar los datos y restaurar las cargas de trabajo puede variar de días a meses. Veamos los principales factores que influyen en el tiempo de recuperación.

  • Experiencia como administrador de sistemas. Los administradores de sistemas cualificados suelen tener varios planes de recuperación ante desastres para distintos escenarios y saben qué hacer en cada situación. Debe tener un plan de recuperación de ransomware para estar preparado ante los ataques de ransomware.
  • La recuperación mediante una herramienta de descifrado (si encuentra una para una versión específica del ransomware) puede llevar mucho tiempo. Si los nombres de los archivos también se han cambiado después del cifrado (como sLc6-fAl26m.nSeB2 en lugar de image001.jpg), llevaría aún más tiempo colocarlos en los directorios correctos después de la recuperación. Debes respetar la estructura correcta de archivos y directorios, sobre todo si estos archivos son necesarios para que las aplicaciones funcionen.
  • Hacer backup de datos reduce el tiempo necesario para la recuperación de archivos y servidores infectados por ransomware. La ventaja de recuperar archivos de un backup tras un ataque de ransomware es que recuperas datos estructurados, incluidos los nombres de archivos y carpetas con su ruta correcta. Debe seleccionar un backup de la fecha/hora adecuada y seleccionar la ubicación de destino donde recuperar los datos. A continuación, sólo tienes que esperar a que los datos se copien y se recuperen.
    Además, las soluciones de backup como NAKIVO Backup & Replication se basan en la tecnología basada en imágenes para capturar las copias de seguridad de máquinas virtuales y físicas. Esto significa que el backup captura el sistema operativo y otros archivos asociados al mismo, como los archivos de configuración de las aplicaciones y el estado del sistema, lo que ayuda a ahorrar tiempo a la hora de volver a poner en marcha los sistemas.
  • La comprobación inadecuada de un plan de recuperación de ransomware puede dar lugar a tiempos de restauración de datos más largos de lo esperado. Por este motivo, pruebe siempre su plan de recuperación para asegurarse de que puede recuperar todo lo que necesita en el plazo de tiempo adecuado.

Tenga en cuenta que al crear una estrategia de recuperación ante desastres que incluya un plan de recuperación ante desastres de ransomware, debe tener en cuenta las métricas RTO y RPO.

Conclusión

La recuperación de ransomware es un proceso complejo que incluye la recuperación de datos y el restablecimiento de las cargas de trabajo. El coste y el tiempo de recuperación del ransomware dependen de la cantidad de preparación que se dedique a la estrategia de backups y recuperación de los ataques de ransomware.

La principal forma de mitigar los problemas causados por los ataques de ransomware es seguir medidas preventivas y hacer backup de los datos con regularidad. Siga la regla 3-2-1 para hacer backups y utilice un almacenamiento de backups inmutables y una solución de protección de datos fiable que pueda automatizar las tareas.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Artículos recomendados

Picture
2023 Tendencias en la protección de datos para infraestructuras de TI
Picture
Cómo hacer VirtualBox pantalla completa: Una Guía Completa
Picture
Cómo Crear un Cluster vSan: Guía de Configuración