¿Que ransomware me atacó?

Introducción

Durante un proceso de infección de ransomware, una vez que se ha desarrollado, es muy importante saber cual de todas las variantes se ha infectado al o a los equipos, en ocasiones el primer respondiente (la persona en sitio que atiende la incidencia) entra en pánico e intenta remediar la situación de acuerdo a los conocimientos con los que cuenta, sin embargo ante la respuesta a un incidente, hay algunas cosas que debemos revisar para tomar en cuenta.

¿Que hacer ante un incidente?

Primero que nada es saber que equipos ha sido afectados por el virus en cuestión, apagarlos quitando la energía de manera espontanea, esto preserva algunos datos volatiles en la memoria RAM, para un posterior análisis. Es importante preservar la mayor parte de la evidencia, por eso se debe realizar este procedimiento aparentemente inadecuado.

Una vez que ha identificado, tenemos que aislarle nuestra red a los equipos en cuestión, para realizar un análisis, si tiene las herramientas adecuadas hay que preservar los procesos ejecutados por el equipo, la bitácora de eventos del sistemas, las conexiones de red, y si se realizo el proceso anterior, una captura de la memoria RAM, ademas hay que revisar los archivos que se han visto afectados, buscando la nota donde solicita el rescate y un archivo afectado.

Análisis de la información

Tenemos la responsabilidad de saber que ha sido lo que ha pasado, en el peor de los casos, el primer respondiente, suele haber apagado el archivo de manera tradicional, entonces los únicos archivos relevantes son la nota  de rescate, y los archivos cifrados, por lo que hay que ver la variante del ransomware nos ha infectado los equipos.

Recursos externos

Para estos casos existen algunas herramientas en linea que nos pueden entregar que tipo de ransomware es, la herramienta que he utilizado es ID Ransomware de malware hunter team, para ello debemos de subir los archivos infectados y la nota de rescate.

Esta herramienta nos dice la variante ha afectado al equipo, y si existe una posibilidad de recuperar la información, aunque siendo sinceros, casi siempre no es así, pero en caso de exista la mínima posibilidad, esta herramienta nos dirá si hay publicado un programa para descifrar la información, junto con el enlace.

Descargamos la aplicación que podría ayudarnos, en este caso una variante de STOP djvu, y la aplicación que podría rescatar la información es por parte de la empresa emsisoft, que tiene bastantes tools para recuperar archivos por ransomware, sin embargo la variante para este caso, la información no se pudo rescatar.

¿Que hacer ahora?

Por desgracia, y en la mayoría de los casos, los archivos ya no se pueden recuperar, aun se puede optar por una búsqueda con herramientas forenses, es decir, hacer una copia bit a bit de o los equipos en cuestión, sin embargo, es muy incierto el que la información sea recuperada por este método, se invierte mucho tiempo, y los resultados son poco prometedores.

Recomendaciones 

• Realizar una copia de los datos importantes de manera regular
• Si esta en sus posibilidades, adquirir un antimalware, antivirus, y un respaldo remoto.
• Instalar los parches de seguridad en los equipos