Identificador del artículo: FS-FBS-20170715-I01
Última verificación: 15 de febrero de 2021
Versión: 1.1

Cómo proteger su computadora del ransomware de cifrado de archivos

Este artículo describe cómo protegerse contra el malware ransomware (en inglés, ransomware). Describe cómo proteger los archivos (documentos) almacenados en estaciones de trabajo y servidores NAS. También describe cómo proteger las copias de seguridad contra el cifrado y qué hacer después de detectar una amenaza.



Introducción

La protección más segura contra el cifrado o eliminación de archivos es realizar copias de seguridad periódicas y automáticas. Las copias de seguridad le permitirán restaurar sus archivos incluso si otras medidas de seguridad, como un programa antivirus, han fallado. Además de proteger los archivos (documentos), también debe recordar la protección adecuada de los archivos de respaldo (copias de seguridad), que también pueden ser encriptados o eliminados por programas maliciosos de ransomware.


Protección de archivos (documentos) de estaciones de trabajo y servidores NAS

La protección más confiable contra la eliminación o el cifrado de archivos son las copias de seguridad periódicas y automatizadas. Se debe hacer una copia de seguridad de los documentos importantes al menos una vez al día, preferiblemente justo antes de apagar la computadora. Dado que podemos aprender sobre la eliminación o el cifrado de un archivo con cierta demora, recuerde habilitar Copias rotativas (retención). Esta opción le permite especificar cuánto tiempo se deben mantener las copias de seguridad, lo que le permitirá "retroceder en el tiempo" y restaurar el estado del disco a una fecha específica. Si, por ejemplo, para una copia de seguridad diaria configuramos las copias rotativas en 30, entonces siempre será posible "retroceder" hasta 30 días atrás.




Protección de archivos de respaldo (copias de seguridad)

En el caso de que el software malicioso ingrese a la red interna, no solo los documentos, sino también los archivos que contienen sus copias pueden ser encriptados. Por lo tanto, es muy importante asegurar el propio servidor de respaldo y los directorios donde se almacenan las copias de seguridad..

Las computadoras con Windows son las más populares, por lo que son atacadas con mayor frecuencia por malware. Si el servidor de respaldo se ejecuta en una computadora con Windows, debe protegerse deshabilitando el uso compartido de archivos y bloqueando todos los puertos de red para las conexiones entrantes, excepto los puertos TCP 4530 (consola de control) y TCP 4531 (copia de seguridad/recuperación) utilizados por Ferro Backup System. Puede encontrar más información sobre la seguridad del servidor de copia de seguridad en el artículo Proteger las conexiones de red: implementar la seguridad en el servidor de copia de seguridad.

Instalar un servidor de respaldo en el sistema también puede ser una buena solución Linux (por ejemplo, directamente en el servidor NAS QNAP o NAS Synology) y desactivar los servicios de compartición de archivos (SMB, AFP, NFS, FTP, TFTP, rsync) y servicios de acceso remoto (Telnet, SSH, RDP).

El siguiente paso para proteger los archivos, independientemente del sistema operativo en el que se ejecute el servidor de respaldo, es activar la protección contra la modificación o eliminación de archivos. Esta opción está descrita en el manual de instrucciones: Proteger el acceso a los directorios de destino.

La protección efectiva contra el software malicioso también es la replicación de las copias de seguridad. La replicación consiste en duplicar archivos automáticamente a otro lugar. La protección más eficaz en este caso será la replicación de archivos en medios a los que el ransomware no tiene acceso, como: cintas LTO, discos DVD o Blu-ray, unidades en la nube, USB extraíble unidades, cartuchos RDX, etc.




Seguridad de los recursos de la red

Al guardar archivos (o réplicas) en un recurso compartido de red, debe recordar algunas reglas importantes, gracias a las cuales reducirá el riesgo de cifrar o eliminar archivos.

Solo un usuario debe tener acceso completo (lectura y escritura) a la carpeta compartida. Para ello, lo mejor es crear una cuenta de usuario especial en el NAS, por ejemplo, FerroBackup. Los datos de inicio de sesión al recurso de red (nombre de usuario y contraseña) se debe indicar solamente en la consola del programa en la pestaña Ajustes -> Recursos de red. De esta manera, solo el servidor de respaldo tendrá acceso a los archivos. ¡La contraseña que cree debe ser segura!

Por cierto, recuerde no especificar ninguna letra de unidad local cuando conecte un recurso compartido de red, ya que esta asignación puede ser visible para otros usuarios de la computadora, incluidos los programas de encriptación. Con tal conexión configurada con un recurso de red, la ruta de destino para guardar o replicar archivos debe ingresarse en el formulario UNC (\\servidor\recurso\[directorio]).




Qué hacer si se detecta una amenaza

Tras detectar y eliminar la amenaza, podemos recuperar los archivos (o todo el sistema) desde una copia de seguridad. Para ello, debe dirigirse a la pestaña Recuperación, seleccionar la computadora, en la cual los archivos han sido encriptados, y seguidamente seleccionar la copia de seguridad de algún día anterior al ataque. Después de seleccionar el directorio de documentos o todo el disco, haga clic en Restaurar o extraer, seleccione Reemplazar archivos existentes y haga clic en Aceptar. Si está restaurando documentos desde un servidor de archivos, también debe seleccionar Restaurar descriptores de seguridad guardados para restaurar los permisos DACL a archivos y directorios.


Mire también