Víctima de Ransomware…Como si estuvieses en primero

victima-de-ransomwere

¡¡¡Estimados amigos del blog!!!

Os voy a contar una experiencia que he tenido en primera persona, una mala experiencia, que si bien muchos la sufrís a diario, me ha tocado por primera vez vivir a mí. Hablo del Ransomware y la pérdida total de información.

Llevo dando charlas sobre esto años. Mis equipos de gente, mis compañeros, mis amigos, vosotros, todo el mundo ha oído ya hablar del famoso Ransomware, el virus de la policía, Wannacry, el virus telefónica o cualquier apelativo de los que se dan a este tipo de malware.

 

ransomware

Fuente: Terabyte zona

 

 

No obstante este escrito no va dedicado a los expertos de seguridad que nos leéis, ni tan siquiera a los informáticos o aficionados a este mundo, esto ya lo tienes superado. Este texto está encaminado hacia otras personas. Hacia ese empresario que tiene 3 ordenadores en su despacho. A esa asociación que tiene un servidor y un pc un router de XXX compañía.

Si eres de los primeros, por favor, envíaselo a los segundos. Si eres de los segundos, por favor, hacerme caso y acudir a los primeros en busca de ayuda…

Todo empezó un sábado a las 9:00. Salía de mi sesión diaria de gimnasio, ya sabéis que intento cuidarme. :-) Me llama por teléfono una persona muy importante. MUY importante, un directivo top top top. Yo me dediqué un tiempo a temas de seguridad para una de las empresas que este hombre representa, y nos une una pequeña amistad, y por qué no decirlo, un sentimiento de pleitesía por mi parte, ya que todo lo que hice con su empresa me fue genial y les guardo mucho cariño.

Me comenta que una organización de la que es directivo, del tipo “centro deportivo” voy a llamarla ha tenido un ataque del virus ese malo y que si puedo hacerme cargo de él. Le digo que por supuesto, que se olvide del problema, que lo que hiciera falta por él, a título personal, y que le mantendría informado…

Me acerco en cuanto puedo al sitio. El escenario es dos ordenadores, un Windows 2008 con la clave de administrador “p@assw0rd”, sin antivirus, sin parches, y con acceso remotos de los que todos conocemos, un poquito de tea,, por aquí, un poquito de vnc por allá… un rdp por aquí… un servicio no-ip por allá… el típico despliegue “cutre” de informático de empresa pequeña.

¡¡¡Es normal!!! la empresa, el club deportivo, tiene 3 ordenadores !!! no necesitan un CPD y un informático…Allí un pc es del director. Office, internet, poco más. El otro ordenador es para una persona de administración que va dos tardes a la semana a meter facturas y realizar 4 remesas al banco. ¿Os va sonando el tamaño de la empresa? conocéis alguna empresa así?

La informática de este sitio al final se complica un poco más, ya que tiene una webcam para ver instalaciones desde fuera, tiene un torno de acceso, tiene un control de parking, algunas pequeñas aplicaciones que tiran de ese Windows 2008 viejuno ( y casi seguro pirata) y un disco duro conectado al equipo para los backups…

¡¡¡Se me olvida!!! por supuesto, nada más llegar se me recibe cual superhéroe de comic, no solo por mi físico, sino porque ya había pasado por allí el más listo de la zona y no había podido hacer nada, y que el directivo amigo mío me había vendido como el padre de super-man, el máquina !!!

Empiezo a hacer mi trabajo y nada, todo cifrado, no shadow copies, no backup, no puedo restaurar, no puedo hacer nada. El virus es un dharma modificado que aún no hay vacuna, solo esperar a que salga algún día. TODO PERDIDO.

 

 

Fuente: M-Files

Fuente: M-Files

 

Después de un par de horas allí con mis cada vez menos trucos de jedi comunico a la persona de más alto rango del momento la situación. Lo habéis perdido TODO.

 

Les emplazo a seguir la siguiente estrategia. Dejar el servidor apagado, dejar las copias, y montar uno nuevo/provisional a la espera de que se pueda salvar lo que tiene, pero que en paralelo podáis empezar a restituir los servicios.  Le sugiero hacerlo con “informática pepito” para que les deje un server y haga las horas que tenga que hacer, pero que no vaya a la desesperada a la mayor empresa del pueblo, porque con la prisa se van a aprovechar y la van a vender un sistema informático sobredimensionado y digo de una empresa mayor…

 

Agradecen mi esfuerzo, mi sinceridad, mi tarifa gratuita, mi llamada al informático apaga-fuegos, pero empiezan:

 

El parking tenía una base de datos con matrículas, los pagos y los permisos para aparcar. todo eso se ha perdido me decía el hombre, y yo pensando: bien, no te has enterado de nada… Si se ha perdido. Pero entonces ¡¡¡qué vamos a hacer!!!! Les invito a pensar si eso antes estaba en otro pc, por si quedó restos, o si cuando hicieron el proyecto se les pasó a la empresa un fichero de carga… lo que sea. NADA. ¿Qué vamos a hacer? volver a dar de alta todas las matrículas e intentar con los pagos del banco esclarecer quién tenía qué derechos… Eso va a estar fallando calculo 3 meses.

 

El torno de entrada, el programa del club, los abonados, las reservas de “salas”, la contabilidad, las facturas, las fotos de 100 años de historia, TODO PERDIDO.

Por cada uno de estos sistemas, tuve que estar dándole mi consejo de cómo empezaría a trabajar, de cómo intentar recuperar la máxima información de remesas, recibos, pagos, banco, papel, y con cada una de mis explicaciones decía: pero bueno, lo mismo en un mes se recupera la información del servidor… por darles algo de esperanza.

Un problema informático, un ordenador que había por ahí escondido en una sala con papeles, ha ocasionado MUCHAS MUCHAS MUCHAS complicaciones a gente que va a “hacer deporte”, tomarse una coca-cola, a una empresucha (con todos mis respetos). Van a estar mucho tiempo dando excusas de “es que fue el sistema informático y hemos tenido que empezar desde cero” y van a perder dinero, bastante dinero. Solo en horas de técnicos, reinstalaciones, pérdida de créditos, falta de control, etc, calculo que unos 30.000€

Desde el punto de vista nuestro, de los profesionales que nos dedicamos a esto, es algo común. Malas claves, malos backups, falta de inversión, pero en este caso pasaron dos cosas:

1.- que me tocó directamente contarle el pastel.

2.- la empresa realmente tenía “más o menos” las cosas “bien” para su tamaño. ¡¡¡Tenían un servidor !!! ¡¡¡Estaba en otra sala !!! tenían copias de seguridad, en fin, que no era lo peor que había visto, y eran pequeños, muy pequeños.

Espero que hayas entendido el dram que se les ha venido encima, y que le pases este texto a cualquier amigo o familiar que tenga un negocio, o que participe en uno, con 1 ordenador o más. Sea una farmacia, una asesoría, una academia, una tienda, un diseñador, cualquier cosa que tenga información, y la información sea necesaria, es víctima potencial de un ataque de este tipo y las consecuencias suelen ser MUY altas, mucho más que la proporcionalidad de las medidas que se suelen llevar a cabo, hasta que pasan estas cosas.

Nosotros como empresa recomendamos siempre tener un contacto tecnológico profesional cercano. Una empresa que nos ayude con esta camino, ¡¡¡¡ el de la ciberseguridad!!!! sino el de la famosa transformación digital y que contar medidas dimensionadas a nuestras necesidades es fundamental. No todas las empresas necesitan el bunker que contiene la fórmula de la bebida azucarada, pero si una caja fuerte…

 

Termino este artículo con una pena importante y con la sensación de que por desgracia, una vez más han ganado los malos.

 

PD:En ningún momento se habló de pagar secuestro, por eso aquí ni se ha mencionado. No contribuyas con el delito pagando.

 

 

1 Comment

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>