Como sabéis, es noticia que ayer Viernes 12.5.2017 se realizó un ataque masivo de RANSOMEWARE (encriptación y secuestro de información) a nivel mundial y especialmente en España. (ver alerta)
Desde el equipo de seguridad-profesional.com recomendamos una serie de acciones a revisar de forma urgente:
En Prevención:
1- Actualice su Windows con las últimas actualizaciones del sistema.
2- Compruebe de forma fehaciente la calidad de sus copias de seguridad y habilitar el versionado (disponer varios dias).
3- Comunique / Eduque y Comparta con su equipo, la ley básica de  “Nunca se debe de ejecutar aplicaciones que pidan ejecutarse como administrador o de fuentes poco desconocida (emails, descarga de facturas pdf, etc).
4- A los servidores físicos, Virtuales, Nube y equipos críticos (facturación-financiera-administración) realice una clonación total o snapshot frecuentemente.
SI ha sido encriptado:
1- Desconecte el equipo de la red y apáguelo. (igualmente si es un servidor o servidor en la nube)
2- Contacte con profesionales de IT (nuestros expertos)

3- El 50% de las encriptaciones se puedes desencriptar con RESCUE-PACK

 
OTRAS RECOMENDACIONES BÁSICAS:
1. Mantener copias de seguridad periódicas de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados.
2. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado.
3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de los cortafuegos a nivel de aplicación (basado en listas blancas de aplicaciones permitidas).
4. Disponer de sistemas antispam a nivel de correo electrónico y establecer un nivel de filtrado alto, de esta manera se reduce las posibilidades de infección a través de campañas masivas de ransomware por correo electrónico.
5. Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.). Herramientas como AppLocker, Cryptoprevent o CryptoLocker Prevention Kit permiten crear fácilmente dichas políticas.
6. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS, evitando así la comunicación entre el código dañino y el servidor de mando y control.
7. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits (incluidos 0-days).
8. No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware.
9. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección, el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto
10.Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo “Privacy Manager”, que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits).
11.Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero
Enlaces de interés: