🛡️
Respuesta ante Ransomware
Contención · Análisis · Recuperación · Comunicación
⚠️ No pagar. Priorizar seguridad del personal y contención. Coordinar con legal/seguros si aplica.
- Alertas de Zabbix/EDR/usuarios: pantallas de rescate, cifrados anómalos, CPU/IO altos.
- Recolectar hora exacta, host afectado, usuario activo, procesos sospechosos.
- Aislar host (quitar red o VLAN de cuarentena).
- Deshabilitar cuentas comprometidas, revocar tokens/sesiones.
- Bloquear IOCs en firewall/EDR.
Comandos útiles (no destructivos):
# Windows: aislar red (deshabilitar NICs)
Get-NetAdapter | Where-Object {$_.Status -eq 'Up'} | Disable-NetAdapter -Confirm:$false
# Linux: bajar interfaz principal (ejemplo)
sudo ip link set dev eth0 down
# FortiGate: crear dirección IOC y bloquear
config firewall address
edit IOC-BadIP
set subnet <IOC_IP> 255.255.255.255
next
end
config firewall policy
edit 0
set name "Block IOC"
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "IOC-BadIP"
set action deny
set schedule always
set service ALL
next
end
- Triage: procesos anómalos, tareas programadas, Run/RunOnce, servicios nuevos.
- Logs: eventos de seguridad (Windows 4624/4625/4672, etc.), journalctl en Linux.
- Vector probable: phishing, RDP expuesto, credenciales reusadas.
# Windows: top eventos de error últimas 24h
Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2; StartTime=(Get-Date).AddDays(-1)} | Select TimeCreated, Id, ProviderName, Message -First 50
- Validar puntos de restore (PBS/Veeam).
- Restaurar a red aislada, verificar integridad (AV/EDR, hashes).
- Cambiar credenciales, reinstalar agentes, parchear.
- Volver a producción con validación funcional y monitoreo elevado.
- Línea de tiempo, causas raíz, controles que fallaron.
- Acciones correctivas (MFA, endurecimiento RDP, segmentación, copias offline).
- Documentar en wiki + informe ejecutivo.
Plantillas:
- Notificación a cliente/usuarios (incidente seguridad).
- Lista de verificación de hardening (RDP/MFA/EDR).
- Evidencias (capturas, hashes) — subir a Evidencia del cliente.
⬆ Volver arriba