Aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR,WatchGuard EDR Core, WatchGuard EPP
Las funciones disponibles difieren según el producto. Este tema describe funciones que podrían no estar disponibles en su producto Endpoint Security.
Las amenazas de ransomware cifran el contenido de los archivos encontrados en estaciones de trabajo y servidores. A continuación, las amenazas exigen un rescate económico a la empresa objetivo para conectar la información cifrada. Estas amenazas son extremadamente peligrosas por el impacto que pueden tener en las operaciones de las empresas. WatchGuard Endpoint Security incluye varias funciones para ayudar a las organizaciones tanto en la detección de ataques de ransomware como en su remediación.
- Cuando activa las instantáneas, realiza una copia diaria de los archivos de la computadora hasta un máximo de siete copias. Asegúrese de recuperar una copia limpia de los archivos cifrados en un plazo de siete días después de que se produzca el ataque. Después de siete días, todas las instantáneas son copias de archivos cifrados. Para obtener información sobre cómo configurar las instantáneas, vaya a Configurar las Instantáneas (Shadow Copies).
- Puede utilizar la función Aislar Equipos para aislar las computadoras con Windows afectadas por un ataque de ransomware. Aislar una computadora puede afectar su funcionamiento normal. En el caso de los servidores, podría impedir el correcto funcionamiento de otras computadoras de la red. Para más información, vaya a Aislar un Equipo.
- Verifique que el software de seguridad de endpoints funciona en todas las computadoras:
- Para confirmar el estado de funcionamiento del software de seguridad de endpoints en sus computadoras, revise el mosaico Estado de la Protección en el panel de control.
- Reinstale el software de seguridad en las computadoras cuyo estado de protección sea Error.
- Encuentre las computadoras sin software de seguridad instalado. Para obtener más información acerca de cómo encontrar computadoras desprotegidas, vaya a Programar y Ejecutar Tareas de Computadoras de Descubrimiento.
- Configure la protección avanzada con estos ajustes:
- Configure el Modo Operativo en Bloquear.
- Configure las Políticas Avanzadas de Seguridad en Bloquear. (solo Advanced EPDR)
- Configure la Protección Anti-exploit en Bloquear.
- Habilite la Inyección de Código en la protección anti-exploit.
Para más información, vaya a Protección Avanzada.
- Active y configure el antivirus de archivos, el antivirus de correo y el antivirus para navegación web a fin de detectar todo tipo de amenazas. Para más información, vaya a Configurar el Escaneo Antivirus.
- Configure la protección antimanipulación y configure una contraseña para evitar la desinstalación no autorizada del software de protección. Para más información, vaya a Configurar la Seguridad Antimanipulación (Computadoras con Windows y Linux).
- Verifique que el espacio máximo para instantáneas sea de entre 10 y 20 % para asegurarse de que haya espacio suficiente para las copias. Para más información, vaya a Configurar las Instantáneas (Shadow Copies).
Para eliminar el ransomware y restaurar el sistema:
- Instale parches que solucionen las vulnerabilidades críticas detectadas.
Para más información, vaya a Revisar Parches Disponibles. - Ejecute un análisis a pedido.
Para más información, vaya a Crear una Tarea de Escaneo Programada. - Reinicie las computadoras afectadas para cerrar las conexiones remotas en curso.
Para más información, vaya a Reiniciar una Computadora (Computadoras con Windows). Si el ransomware sigue activo después del reinicio, comuníquese con el soporte técnico de WatchGuard. - Restaure los archivos cifrados en cada computadora con las instantáneas de Windows o el procedimiento corporativo de recuperación de datos.
- Restituya la configuración de seguridad que modificó a sus ajustes anteriores.