[KB3433] Buenas prácticas para protegerse del ransomware

• Desea utilizar las mejores prácticas para configurar su sistema de protección contra el malware ransomware
• Mejores prácticas generales de ESET contra el ransomware
• Prácticas generales anti-ransomware
• Recuperación de archivos cifrados

Las versiones actuales de las aplicaciones de ESET utilizan múltiples capas de tecnologías para proteger los ordenadores del ransomware.

Algunos ejemplos de estas tecnologías son Advanced Memory Scanner, ESET LiveGrid® Reputation System y Exploit Blocker.

Además, las últimas aplicaciones de ESET proporcionan un módulo mejorado de Protección de Botnet que bloquea la comunicación entre el ransomware y los servidores de Mando y Control (C&C).

Buenas prácticas generales de las aplicaciones ESET contra el ransomware

• Habilite la detección de PUA (Aplicaciones Potencialmente No Deseadas)

Siga las instrucciones del artículo enlazado para detectar aplicaciones no deseadas, inseguras y sospechosas, como herramientas RMM (monitorización y gestión remotas), controladores vulnerables, escáneres de red y otro software que pueda suponer un riesgo de seguridad para su sistema. Aunque estas herramientas pueden ser de confianza, estar firmadas y ser legítimas, incluso utilidades integradas en el sistema, los atacantes abusan mucho de ellas durante las intrusiones de ransomware. Más información sobre aplicaciones potencialmente no deseadas y contenido potencialmente no deseado.

• Mantenga activados Advanced Memory Scanner y Exploit Blocker

  Estos nuevos algoritmos de ESET refuerzan la protección frente al malware diseñado para eludir la detección de los productos antimalware mediante el uso de ofuscación y/o cifrado.

  Advanced Memory Scanner busca comportamientos sospechosos después de que el malware se desprotege en la memoria, y Exploit Blocker refuerza la protección contra ataques dirigidos y vulnerabilidades nunca antes vistas, también conocidas como vulnerabilidades de día cero.

  Para obtener la máxima protección, le recomendamos que actualice sus aplicaciones ESET a la última versión:

  • Usuarios domésticos: Busque la última versión de su producto ESET para el hogar o la pequeña oficina (Windows)
  • Usuarios empresariales: Busque la última versión de sus productos ESET para empresas (Windows)
    
    

• Mantenga ESET LiveGrid® activado

  El sistema de protección contra malware en la nube de ESET se basa en ESET LiveGrid®. Supervisa las aplicaciones desconocidas y potencialmente maliciosas y somete las muestras a un sandboxing automático y a análisis de comportamiento.

  Asegúrese de que La reputación de ESET LiveGrid® y el sistema de comentarios de ESET LiveGrid® estén activados y funcionando en su producto ESET.

• Mantenga ESET actualizado

  Con frecuencia aparecen nuevas variantes del ransomware existente, por lo que es importante que reciba actualizaciones periódicas de la base de datos de virus (su aplicación ESET buscará actualizaciones cada hora, siempre que tenga una suscripción válida y una conexión a Internet en funcionamiento).

  • Usuarios particulares: Actualice su producto ESET Windows para el hogar o la pequeña oficina
  • Usuarios empresariales: Actualice los productos ESET para puntos finales en estaciones de trabajo cliente individuales - compruebe los últimos módulos de producto
    
    

• Usuarios de máquinas virtuales

  Para obtener la mejor protección contra el malware ransomware, recomendamos el uso de ESET Endpoint Security para Windows en entornos virtuales.

• Asegúrese de tener activado Ransomware Shield

  Ransomware Shield, como parte de una tecnología de Autodefensa, es otra capa de protección que funciona como parte de la función HIPS. Para obtener más información, consulte Escudo contra ransomware en el Glosario de ESET y cómo configurarlo en las aplicaciones de ESET.

• Configure ajustes adicionales para protegerse contra el ransomware en los productos empresariales de ESET manualmente o mediante ESET PROTECT On-Prem/ESET PROTECT Policy

  • Configurar reglas HIPS para los productos empresariales de ESET
  • Configurar reglas de cortafuegos para ESET Endpoint Security
  • Configurar ESET Mail Security para Microsoft Exchange Server
    
    

• Notificaciones

  • Notificaciones de ESET LiveGuard Advanced para amenazas detectadas

Minimice el riesgo de malware basado en cifrado (ransomware)

• Realice copias de seguridad de su sistema

  Planifique realizar copias de seguridad de su sistema con regularidad, y mantenga al menos una copia de seguridad en almacenamiento offline para proteger su trabajo más reciente de un ataque.

• Permisos de usuario y restricción de derechos

  Existen muchos tipos de restricciones, como la restricción de acceso a los datos de las aplicaciones e incluso algunas que están preconfiguradas como objeto de directiva de grupo (GPO).

  • Deshabilitar la ejecución de archivos desde las carpetas AppData y LocalAppData.
  • Bloquear la ejecución desde el subdirectorio Temp (parte del árbol AppData por defecto).
  • Bloquear la ejecución de archivos desde los directorios de trabajo de varias utilidades de descompresión (por ejemplo, WinZip o 7-Zip).
  • Además, en ESET Endpoint Security para Windows, ESET Mail Security para Microsoft Exchange Server y ESET Server Security para Microsoft Windows Server, puede crear reglas HIPS para permitir que sólo determinadas aplicaciones se ejecuten en el equipo y bloquear todas las demás de forma predeterminada: Cree una regla HIPS y aplíquela en una estación de trabajo cliente utilizando ESET PROTECT On-Prem.
    
    

• No desactive el Control de cuentas de usuario (UAC)

  No abra archivos adjuntos que pretendan ser un fax, una factura o un recibo si tienen un nombre sospechoso o no esperaba recibirlos.

  Minimice el riesgo de un ataque de malware.

• Utilice la autenticación de dos factores (2FA)

  Recomendamos ESET Secure Authentication, que puede utilizarse como componente en la nube o en las instalaciones. Para obtener más información, visite la Ayuda en línea de ESET .

• Defensa frente a amenazas

  Recomendamos ESET LiveGuard Advanced.

• Deshabilitar macros (VBA) en Microsoft Office a través de la directiva de grupo

  Microsoft Office 2019 y versiones anteriores: Planifique la configuración de seguridad de las macros VBA para Office

  Microsoft Office 365 utiliza Office Cloud Policy Service (OCPS) para aplicar políticas que bloquean la ejecución de macros en archivos de Office desde Internet.

• Mantenga su sistema actualizado

  Para asegurarse de que cuenta con la mejor protección disponible, mantenga actualizados su sistema operativo y sus aplicaciones. Instale las últimas actualizaciones de alta prioridad ofrecidas en la herramienta Windows Update y compruébelas regularmente o active la función Actualizaciones automáticas. Las nuevas actualizaciones de seguridad parchean las vulnerabilidades del sistema y reducen el riesgo de ataques de malware.

• Puertos/servicios potenciales que podrían ser explotados si se dejan abiertos

  Para evitar que direcciones IP desconocidas realicen con éxito ataques de fuerza bruta, recomendamos encarecidamente bloquear SMB, SQL y RDP.

  Servicio	Recomendaciones
  SMB	Cierre los puertos de compartición de archivos 135-139 y 445. Los puertos SMB no deben estar expuestos a Internet.
  SQL	Lista blanca de direcciones IP de confianza que pueden conectarse a SQL.
  RDP	Detenga los ataques de fuerza bruta RDP externos cerrando RDP a conexiones externas. Utilice una VPN con autenticación de dos factores para conectarse a la red interna.
  	Establezca bloqueos automáticos de cuentas tras un número determinado de intentos fallidos, con un periodo de espera antes del desbloqueo.
  	Imponga contraseñas seguras.
  	Deshabilite las cuentas no utilizadas o predeterminadas (administrador, admin, root).
  	Lista blanca de usuarios y grupos específicos para el inicio de sesión RDP.
  	Poner en lista blanca direcciones IP específicas para permitir la conexión RDP.

• Mejores prácticas del Protocolo de Escritorio Remoto contra ataques

  El malware basado en cifrado suele acceder a los equipos objetivo a través del Protocolo de Escritorio Remoto (RDP) integrado en Windows. RDP permite a otros conectarse a su sistema de forma remota, por lo que el atacante puede utilizar RDP para eliminar la protección y luego desplegar el malware.

  Le recomendamos que desactive o cambie el Protocolo de Escritorio Remoto. Si no requiere el uso de RDP, puede cambiar el puerto por defecto (3389) o desactivar RDP para proteger su máquina de ransomware y otros exploits RDP. Para obtener instrucciones sobre cómo deshabilitar RDP, visite el artículo correspondiente de Microsoft Knowledgebase a continuación:

  • Windows 11
  • Windows 10
  
  

  Para obtener más información sobre RDP, consulte el siguiente artículo de WeLiveSecurity: Asegurando RDP y el acceso remoto.

• Proteja con contraseña la configuración de su aplicación ESET

  Si es un usuario empresarial, le recomendamos utilizar una contraseña para proteger la aplicación ESET de cambios no autorizados por parte de un atacante. Esto evita la modificación no autenticada de la configuración, la desactivación de la protección o incluso la desinstalación del producto ESET. Si utiliza RDP, le recomendamos que utilice una contraseña diferente a la utilizada para las credenciales de inicio de sesión RDP.

  Para más información, consulte cómo proteger su aplicación ESET con una contraseña.

¿Se pueden recuperar los archivos cifrados?

El ransomware moderno cifra los datos utilizando cifrado asimétrico y múltiples algoritmos de cifrado. En resumen, los archivos se cifran con una clave pública y no se pueden descifrar sin la clave privada asociada. Con el ransomware actual, la clave privada nunca se encuentra en la estación de trabajo o entorno afectado. Esto significa que los datos deberán restaurarse a partir de una buena copia de seguridad realizada antes de la infección.

Si no se dispone de copias de seguridad, se puede intentar recuperar los archivos desde Shadow Copies. Descargue Shadow Explorer.

Sin embargo, no es raro que las infecciones de ransomware eliminen las Shadow Copies para impedir la recuperación de los archivos.

¿Qué medidas debe tomar si se infecta con ransomware?

1. Desconecte el ordenador de la red.

2. Localice el archivo TXT o HTML con las instrucciones de pago, por ejemplo, "Cómo descifrar" las carpetas/unidades compartidas cifradas. los investigadores de malware pueden utilizarlo para análisis posteriores.

3. Póngase en contacto con su socio local de ESET para obtener asistencia.