Universidad de Jaén GUIAS DE SEGURIDAD UJA

Servicio de Informática RANSOMWARE

Vicerrectorado de Tecnologías de la Información
Edición Febrero 2018
y la Comunicación y Universidad Digital

1. Qué es el ransomware
Podemos definir el ransomware como un tipo de malware
(software malicioso) que bloquea el uso de un dispositivo

GUIAS DE SEGURIDAD UJA (ordenador, tablet, smartphone…) o la información que contiene,

para después pedir un rescate a cambio de su recuperación.

El método más habitual de propagación es a través del envío de

correos electrónicos maliciosos a las víctimas. Los cibercriminales
las engañan para que abran un archivo adjunto infectado o
Ransomware hagan clic en un enlace que les lleva al sitio web del atacante,
dónde se infectan. Una vez infectados, mediante un mensaje, que
suele ser intimidante, avisan a la víctima de que la única forma en
que puede descifrar sus archivos o recuperar el sistema es pagar
al cibercriminal.

Es habitual que incluyan un límite de tiempo para pagar el rescate

o amenacen con la destrucción total de los archivos secuestrados
o con incrementar el valor del rescate si no se paga a tiempo. El
rescate suele variar entre cientos y miles de euros y es habitual
que se solicite a través de alguna moneda virtual como Bitcoins. A
cambio del pago, los ciberdelincuentes prometen facilitarnos el
mecanismo para desbloquear el ordenador y descifrar los ficheros.
Pero, en cualquier caso, nunca tenemos garantías de que esto sea
así, por lo que siempre se recomienda no pagar el rescate.

2. Cómo nos podemos infectar

Las vías más habituales de infección por ransomware suelen ser las
siguientes:

• Aprovechar agujeros de seguridad (vulnerabilidades)

del software de los equipos, sus sistemas operativos y sus
aplicaciones. Ciertas variedades de ransomware
hacen uso de servidores web desactualizados como

Cuidemos el medio ambiente

Piensa si es necesario imprimir este documento total o parcialmente 1
 Universidad de Jaén GUIAS DE SEGURIDAD UJA
Servicio de Informática RANSOMWARE
Vicerrectorado de Tecnologías de la Información
Edición Febrero 2018
y la Comunicación y Universidad Digital

vía de acceso para instalarse. También se aprovechan conseguir las contraseñas de acceso con las que entrar e insta-
de sistemas industriales SCADA conectados a Internet larlo.
sin las medidas básicas de seguridad.
Es fundamental estar formado para ser capaz de reconocer estas
• Conseguir cuentas con privilegios de administrador de situaciones y saber cómo actuar.
acceso a los equipos mediante engaños (phishing y sus
variantes), debilidades como no cambiar el usuario y
Reconocer y evitar un ataque de ingeniería social
contraseña por defecto, o vulnerabilidades del sof-
tware.
• Desconfía de cualquier mensaje recibido por correo
electrónico, SMS, Whatsapp o redes sociales en el que se te
• Engañar a los usuarios, mediante técnicas de ingeniería
coaccione o apremie a hacer una acción amenazando con
social, para que instalen el malware.
una posible sanción si no se hace.
• Mediante SPAM (correo basura) que contiene enlaces
• No abras correos de usuarios desconocidos o que no hayas
web maliciosos o ficheros adjuntos que descargan el
solicitado: elimínalos directamente. No contestes nunca a
malware.
estos correos.
• Otro método, conocido como drive-by-download,
• Revisa los enlaces antes hacer clic, aunque sean de contactos
consiste en dirigir a las víctimas a sitios web infectados,
conocidos. Desconfía de los enlaces acortados.
descargando el malware sin que ellas sean
conscientes, aprovechando las vulnerabilidades de su
• Desconfía de los ficheros adjuntos, aunque sean de contactos
navegador. También utilizan técnicas de malwertising
conocidos.
(incrustan anuncios maliciosos en sitios web legítimos).
El anuncio contiene código que infecta al usuario sin • Asegúrate de que en todas tus cuentas de usuario usas
que este ni siquiera tenga que hacer clic en él. contraseñas robustas.

• Tenga siempre actualizado el sistema operativo y el software

antivirus y/o antimalware. El Servicio de Informática de la
3. Prevenir la infección por ransomware Universidad de Jaén ofrece recomendaciones prácticas para
mantener al día las actualizaciones del sistema operativo en el
3.1. Prevenir ataques de ingeniería social siguiente enlace:

Gran parte de las infecciones por ransomware tiene lugar http://www10.ujaen.es/conocenos/servicios-unidades/sinformatica/guias/seguridad/generales

mediante ingeniería social. Es una técnica psicológica que

consiste en engañar a los usuarios suplantando la identidad de
personas importantes o conocidas de la organización, intentando
que las víctimas les den acceso para instalar el malware o para

Cuidemos el medio ambiente

Piensa si es necesario imprimir este documento total o parcialmente 2
 Universidad de Jaén
Servicio de Informática
Vicerrectorado de Tecnologías de la Información
y la Comunicación y Universidad Digital
3.2. Copias de seguridad
Si somos víctimas de un ataque de ransomware, la principal
medida de seguridad (y puede que la única) que va a permitirnos
recuperar nuestra actividad en poco tiempo, son las copias de
seguridad o backups.
Recomendaciones básicas:
• Haz y conserva al menos dos copias de seguridad
actualizadas.
• Guarda las copias de seguridad en un lugar diferente al
del ordenador. Lo ideal es almacenar las copias de
seguridad en discos físicos o en soportes externos no
conectados a nuestra red (en otra ubicación física).
• Comprueba que las copias de seguridad que tienes
funcionan correctamente y que puedes y sabes
recuperarlas.
El Servicio de Informática de la Universidad de Jaén ofrece
recomendaciones prácticas para la realización de copias
de seguridad en el siguiente enlace:
http://www10.ujaen.es/conocenos/servicios-
unidades/sau/guias/microinformatica/copia_seguridad
3.3. Navegación segura
• Utiliza redes privadas virtuales (VPN) siempre que sea
posible. Las redes privadas virtuales son un tipo de
conexión de red en el que el tráfico viaja cifrado y en el
que los atacantes no pueden fisgar.
Cuidemos el medio ambiente
Piensa si es necesario imprimir este documento total o parcialmente
GUIAS DE SEGURIDAD UJA
RANSOMWARE
Edición Febrero 2018
• Evita visitar sitios web de contenido dudoso. Siempre se
recomienda mantener actualizados los navegadores web,
y al mismo tiempo tener prudencia en nuestras actividades
online.
3.4. Actualizaciones
Cuanto más actualizados estén los sistemas que utilizas, menos
vulnerabilidades tendrán y será más difícil que puedan entrar o
infectarte. Asegúrate que los sistemas operativos, aplicaciones y
dispositivos tengan habilitados la instalación de actualizaciones de
forma automática.
El Servicio de Informática de la Universidad de Jaén ofrece
recomendaciones prácticas para mantener al día las
actualizaciones del sistema operativo en el siguiente enlace:
http://www10.ujaen.es/conocenos/servicios-unidades/sinformatica/guias/seguridad/generales
4. Recuperar la información cifrada
Recomendaciones fundamentales:
• NO PAGAR nunca el rescate.
• Utiliza la última copia de seguridad de tu información para
recuperar la información perdida.
• Puedes contactar con el Centro de Respuesta a Incidentes
CERTSI de INCIBE. Te ayudarán a resolver el incidente y te
indicarán cómo actuar y con un poco de suerte, pueden
indicarte cómo recuperar tus archivos si existiera ya algún
mecanismo probado.
3
 Universidad de Jaén
Servicio de Informática
Vicerrectorado de Tecnologías de la Información
y la Comunicación y Universidad Digital
• Aísla inmediatamente los equipos con ransomware
desconectándolos de la red para evitar que este se expanda
y ataque otros equipos o servicios compartidos.
• Si fuera posible recoge y aísla muestras de ficheros cifrados o
del propio ransomware como el fichero adjunto en el mensaje
de correo con el que puedes haberte infectado,
• Cambia lo antes posible todas las contraseñas de red y de
cuentas online. Después de eliminado el ransomware vuelve a
cambiarlas.
• Desinfecta los equipos y recupera los archivos cifrados (si
fuera posible).
• Si fuera posible reinstala el equipo con el software original o
arranca en modo seguro y recupera la copia de seguridad
más reciente si la tuvieras.
4.1. ¿Por qué no debes pagar el rescate?
Si has sido víctima de un ataque de ransomware tendrás muchas
dudas sobre si pagar el rescate o no. La recomendación es no
pagar nunca, por los siguientes motivos:
• Pagar no te garantiza que vuelvas a tener acceso a los
datos. Recuerda que se trata de delincuentes.
• Si pagas es posible que seas objeto de ataques posteriores
pues, ya saben que estás dispuesto a pagar.
• Puede que te soliciten una cifra mayor una vez hayas
pagado.
• Pagar fomenta el negocio de los ciberdelincuentes.
Cuidemos el medio ambiente
Piensa si es necesario imprimir este documento total o parcialmente
GUIAS DE SEGURIDAD UJA
RANSOMWARE
Edición Febrero 2018
5. Herramientas para detectar y prevenir
el ransomware
Muchos antivirus y herramientas antimalware ya incluyen entre sus
funcionalidades la protección frente al ransomware. Pero existen
numerosas herramientas y aplicaciones específicas que ayudan
en la detección y prevención del mismo. Además, muchos
fabricantes de antivirus disponen de herramientas específicas de
desencriptado ficheros para ciertas variantes de ransomware.
Herramientas interesantes:
• Kaspersky anti-ransomware tool y herramientas de
desencriptado:
https://go.kaspersky.com/Anti-ransomware-tool.html
https://noransom.kaspersky.com/
• AVAST – herramientas de desencriptado
https://www.avast.com/ransomware-decryption-tools
• TrendMicro Ransomware File Decryptor
https://success.trendmicro.com/solution/1114221-
downloading-and-using-the-trend-micro-ransomware-file-
decryptor
• AVG: herramientas de desencriptado
https://www.avg.com/en-ww/ransomware-decryption-
tools
• McAfee herramientas gratuitas anti-ransomware:
https://www.mcafee.com/us/downloads/free-
tools/index.aspx
• Ransomfree Cybereason:
https://ransomfree.cybereason.com/
4
 Universidad de Jaén GUIAS DE SEGURIDAD UJA
Servicio de Informática RANSOMWARE
Vicerrectorado de Tecnologías de la Información
Edición Febrero 2018
y la Comunicación y Universidad Digital

• GS Antiransomware:  CCN-CERT – Información sobre rasomware

https://anti-ransomware.gridinsoft.com/ https://www.ccn-
cert.cni.es/component/tags/tag/ransomware.html?limitstar
• No more Ransom – Herramientas de desencriptado t=0
https://www.nomoreransom.org/es/decryption-tools.html
 INCIBE - Enfrentándonos al ransomware
https://www.incibe.es/protege-tu-
empresa/blog/enfrentandonos-ransomware
6. Referencias en Internet
 INCIBE - Servicio Antiransomware
 Kaspersky – Blog: Historia y evolución del ransomware: https://www.incibe.es/protege-tu-
datos y cifras https://blog.kaspersky.com.mx/ransomware- empresa/herramientas/servicio-antiransomware
blocker-to-cryptor/7295
 Microsoft Malware protection center – Ransomware
 No-More-Ransom https://www.microsoft.com/en-
https://www.nomoreransom.org/ us/security/portal/mmpc/shared/ransomware.aspx
 Malware.es Ransomware el virus que secuestra un Sistema  Segu-Info Blog: Herramientas para detectar ransomware en
http://www.malware.es/ransomware/ Windows y Linux
http://blog.segu-info.com.ar/2016/03/herramientas-para-
 Trendmicro Blog: ¿Por qué funciona el ransomware? detectar-ransomware.html
Psicología y métodos utilizados para distribuir, infectar y
extorsionar  Guardia Civil - Grupo de Delitos Telemáticos:
http://blog.trendmicro.es/?p=3033 https://www.gdt.guardiacivil.es
 Segu-Info Blog: 22 consejos para prevenir el Ransomware  Policía Nacional – Brigada de Investigación Tecnológica
http://blog.segu-info.com.ar/2016/03/22-consejos-para- http://www.policia.es/org_central/judicial/udef/bit_alertas.
prevenir-el-ransomware.html html
 Navegación Segura
http://www.navegacionsegura.es/

 CCN-CERT Informe sobre medidas de seguridad contra el

ransomware
https://www.ccn-cert.cni.es/seguridad-al-
dia/comunicados-ccn-cert/4251-actualizacion-del-informe-
de-medidas-de-seguridad-contra-el-ransomware.html

Cuidemos el medio ambiente

Piensa si es necesario imprimir este documento total o parcialmente 5