Eliminar el ransomware y recuperar el estado anterior

Las amenazas de tipo ransomware cifran el contenido de los ficheros en los equipos de usuario y servidores, y piden un rescate a la empresa para obtener la clave de recuperación que permite acceder nuevamente a la información cifrada. Este tipo de amenaza es sumamente peligrosa por su potencial impacto en el funcionamiento del negocio. Advanced EDR implementa varias funcionalidades que ayudan tanto en la fase de detección del ataque como en su resolución.

Sigue los pasos mostrados a continuación si detectas un ataque de tipo ransomware:

Dado que Shadow Copies realiza una copia de seguridad diaria de los ficheros y mantiene un máximo de 7 copias, es importante recuperar los archivos encriptados antes del período de 7 días. Si no es así, todas las copias almacenadas estarían cifradas.

• Utiliza la funcionalidad Aislar equipo para aislar los equipos afectados. Ten en cuenta que aislar un equipo puede impedir su funcionamiento normal, y en el caso de servidores, también puede impedir el buen funcionamiento del resto de equipos de la red. Si necesitas más información para configurar esta funcionalidad, consulta Aislar un equipo.

• Comprueba que el software de protección está funcionando en todos los equipos:

  • Para ver el estado de la protección, consulta el widget Estado de protección.

  • Reinstala el software de seguridad de aquellos que muestran el estado Error.

  • Descubre los equipos sin software de seguridad instalado. Si necesitas más información para configurar esta funcionalidad, consulta Visualizar equipos descubiertos.

• Configura la protección avanzada con las opciones mostradas a continuación (si necesitas más información, consulta Protección avanzada).

  • Modo de funcionamiento: Lock.

  • Activar políticas avanzadas en modo Bloquear.

  • Activar Anti-exploit en modo Bloquear.

  • Activar Inyección avanzada de código.

• Configura la protección anti tamper y establece una contraseña para evitar la desinstalación del software de protección. Si necesitas más información para configurar esta funcionalidad, consulta Configurar la seguridad frente a manipulaciones no deseadas de las protecciones.

• Comprueba que la funcionalidad Shadow Copies está configurada entre el 10 y el 20% para evitar el borrado de copias por falta de espacio. Si necesitas más información para configurar esta funcionalidad, consulta Configuración de Shadow Copies.

• Para eliminar el ransomware sigue los pasos mostrados a continuación:

  • Instala como mínimo los parches que corrigen las vulnerabilidades criticas detectadas. Consulta Cytomic Patch(Actualización de programas vulnerables).

  • Lanza una tarea de análisis bajo demanda. Consulta Análisis y desinfección bajo demanda de equipos.

  • Reinicia los equipos afectados para cerrar cualquier conexión remota en curso. Si necesitas más información para configurar esta funcionalidad, consulta Reiniciar equipos.

  • Si tras el reinicio continúa la actividad del ransomware, contacta con el departamento de soporte de Cytomic.

• Restaura los archivos cifrados en cada equipo con Shadow copies o con el procedimiento de recuperación de datos implantado en tu empresa.

• Restaura las configuraciones de seguridad modificadas al comienzo de este procedimiento a sus valores habituales.