Una vez tuve un ataque de ransomware en mi empresa. Sin duda, la forma de actuar es la misma, un correo electrónico que suele parecer real, ya suelen ir sin adjunto, pero apuntando mediante link a una web externa con el virus. "Su factura de Endesa de 245€ link para descargarla". O por ejemplo, un Nombre muy común, tipo Antonio González, le envia la factura por dropbox, y un link tipo "dropboxx.es/adkjasdlk", apuntando a la mierda. Suelen ser bastante directos, y da bastante veracidad porque muchos estan esperando una factura de cualquier cosa, o un consumo elevado en invierno, asusta y lo abres etc...
Es muy peligroso, y además de un problema de seguridad externo intervienen muchos fallos internos, propios y ajenos:
- El servidor de correo contratado no lo filtra. He comprobado que a todos los usuarios les llega 1 vez al día el mismo correo durante 3-4 días.
- El antivirus actualizado de los PC, no lo detecta al ejecutarse. Supongo que son versiones demasiado nuevas de virus.
- Chrome, ie, firefox no detecta nada al entrar al link, cuando sabemos que cuando una web es potencialmente peligrosa, avisa.
- Incluso después de ejecutarlo en la maquina local, los usuarios no se percatan de nada. (aquí es donde no me sabe explicar que pasó). Suelen además, intentar "darle" 3 o 4 veces más.
El mayor y peor problema de todo no es lo que infecta en la propia máquina local (que tambien), sino que esta mierda accede a todo el sistema de red al que tenga acceso el usuario que ha intervenido. La red local de una empresa, por dominio o por grupo de trabajo tiene una intranet, SMB por lo general, con una zona, importante, con permisos para casi todo. Es decir, el virus se propaga hasta donde puede por la red, encripando todos los archivos que son documentos, fotos, videos, etc, EXCEPTO los archivos de sistema que hacen que el equipo funcione.
La clave está en que una vez ejecutado, actúa de forma silenciosa en segundo plano, encriptando uno por uno todo lo que encuentra a su paso, de manera recursiva, hasta que acaba. Puede tirarse horas y horas para encriptar una carpeta grande de una red compartida y es por eso que es importantísimo apagar cuanto antes todos los ordenadores al detectar un sólo archivo encriptado. (una archivo tipo "libro.xls" la convierte en libro.xdefrejosisidoisjdjspayforme" o similar, osea que se detecta rápido.
Lo de pagar, tengo clarísimo que no vale para nada, e incluso creo que es hasta perjudicial si consiguiera desencriptarse todo. Estaríamos marcados en rojo como empresa pagadora para estos HDP, siendo el siguiente objetivo numero 1 para la siguiente. Backup de la red y a lamentar lo que hubiera en el equipo local, no hay más.
![[+risas]](/images/smilies/nuevos/risa_ani3.gif "más risas")
ir a por ellos y aquí no pague ni cristo. 
![[qmparto]](/images/smilies/net_quemeparto.gif "Que me parto!")
![[fumando]](/images/smilies/nuevos/fumando.gif "fumando")
![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
![[jaja]](/images/smilies/nuevos2/otrasonrisa.gif "otra sonrisa")
![[facepalm]](/images/smilies/facepalm.gif "facepalm")
![[sonrisa]](/images/smilies/nuevos/risa_ani1.gif "sonrisa")
![[carcajad]](/images/smilies/nuevos/risa_ani2.gif "carcajada")