El primer paso importante en este tipo de casos es aislar, desconectar y apagar los sistemas de la empresa que hayan sido infectados. Existe la posibilidad de que el ransomware no haya afectado a todos los datos y sistemas accesibles, por lo que aislar tanto los sistemas comprometidos como los que no lo han sido, ayudará a contener el código malicioso. Desde los primeros indicios de la presencia de ransomware en la red, la contención debe ser la prioridad.
Los expertos subrayan la importancia de disponer de un plan de continuidad de negocio (BCP) y su componente de recuperación de desastres, es esencial para mantener cierto nivel de operabilidad.
El plan de continuidad es una guía detallada que ayuda a todos los departamentos a comprender el funcionamiento de la empresa en caso de problemas que alteren la actividad normal. Y el componente de recuperación de desastres es la parte que especifica la forma en la que se pueden restaurar y volver a poner en línea los datos y sistemas críticos.
¿Hay que pagar el rescate?
Es importante considerar que incluso si se paga el rescate, o si se restauran los sistemas infectados la actividad maliciosa puede continuar, inmediatamente o en el futuro.
Además, al pagar se está dando un aliciente a los criminales para continuar con sus actividades. Por otro lado, tampoco existe ninguna garantía de que una vez efectuado el pago, liberarán tus archivos, ni de que no volverás a ser chantajeado de nuevo. Tampoco sabes dónde terminará el dinero del rescate, hasta el punto de que podrías estar apoyando actividades delictivas aún más graves.
Copias de seguridad
En la fase final de la recuperación de un ataque de ransomware, las empresas deben aplicar las operaciones necesarias para la desinfección de los equipos, parchear los sistemas que pueden haber llevado al compromiso inicial con el que entró el malware y supervisar el entorno para detectar la presencia de cualquier otra actividad maliciosa.
