X [contact-form-7 id="221" title="Formulário de contato 1"]

logo CBL Tech

logo CBL Tech



Solicitar servicio

¿Qué hacer inmediatamente tras un ataque de ransomware?

Los pasos en orden estricto de prioridad

1. Aislar inmediatamente los sistemas afectados de la red
Desconectar el cable ethernet y deshabilitar el WiFi en todos los equipos que muestren síntomas (archivos con extensiones extrañas, mensajes de rescate). El objetivo es detener la propagación lateral a otros sistemas de la red antes de que se cifren más datos.

Esto es la acción más urgente: cada minuto que pasa con los sistemas conectados puede significar más equipos afectados.

2. NO apagar los sistemas todavía
Esto es contraintuitivo pero importante: en algunos tipos de ransomware, la memoria RAM contiene la clave de cifrado activa mientras el proceso está corriendo. Forzar el apagado puede destruir esa clave. El análisis forense de la RAM puede ser posible en sistemas activos. Consultarlo con especialistas antes de apagar.

3. Documentar
Fotografiar con un celular (no con el equipo afectado): el mensaje de rescate que aparece en pantalla, la extensión de los archivos cifrados, los sistemas afectados y los no afectados. Esta documentación es útil para identificar el ransomware y para la denuncia.

4. Identificar el ransomware
La extensión de los archivos cifrados y el contenido del mensaje de rescate permiten identificar la familia de ransomware. La herramienta ID Ransomware (id-ransomware.malwarehunterteam.com) permite cargar un archivo cifrado o el mensaje de rescate y obtener la identificación. Si el ransomware tiene un descifrador disponible en nomoreransom.org, no es necesario pagar.

5. Verificar el estado de los backups
¿Los backups están intactos? ¿Estaban en red (posiblemente cifrados) o aislados (posiblemente seguros)? ¿La nube tiene versiones anteriores disponibles? Este paso determina el camino de recuperación disponible.

6. Contactar especialistas antes de cualquier acción de “limpieza”
Formatear los sistemas afectados o reinstalar el sistema operativo para “limpiar el virus” destruye la posibilidad de análisis forense, elimina las shadow copies que puedan existir y puede destruir evidencia necesaria para recuperar datos. Ningún paso de limpieza debe hacerse antes de que los especialistas evalúen la situación.

Lo que NO hacer

  • No pagar inmediatamente sin evaluar alternativas técnicas
  • No formatear ni reinstalar sistemas afectados
  • No ejecutar antivirus o herramientas de limpieza sobre los sistemas cifrados sin asesoramiento
  • No intentar descifrar archivos con herramientas no verificadas (algunas “herramientas de descifrado” son ransomware adicional)

¿Necesitás recuperar datos? Iniciá el proceso

WhatsApp chat