Jump to content
David_csi

Utilidad copia de seguridad contra Ransomware

Recommended Posts

Hola buenas tardes.

Desde que mi jefe ha llegado de un evento donde varias marcas exponían sus productos, tengo la curiosidad por algo que le ha dicho un comercial de kaspersky.

Resulta que mi jefe le comento lo complicado que es actuar contra los  ransomware y este buen hombre le comento que configurando bien kaspersky teníamos solución. Diciendole que hay una utilidad de kaspersky que al detectar el ransomware, kaspersky detiene el proceso de encriptacion para asi acto seguido ejecutar una acopia de seguridad automática, datos encriptados incluidos. Haciendo asi posible la restauración de los archivos ademos de desencriptar los archivos dañados.

 

No se he mirado un poco por internet y me da que se ha subido un poco a las nubes este hombre.

Alguien de por aquí ha escuchado algo de esto?

 

Un saludo y gracias

Share this post


Link to post

Hola,

Por lo que comentas, parece que hablas de las funcionalidades del producto doméstico Kaspersky Total Security, es el único producto capaz de realizar una copia de seguridad de los datos. Además mediante System Watcher pueden detener un proceso de cifrado, pero la copia de seguridad no se realiza automáticamente, debe configurarse.
 
Por otro lado, a nivel producto corporativo, la prevención por parte del Kaspersky Endpoint Security de ramsonware se realiza mediante el KSN, System Watcher, y el control de inicio de aplicaciones.

Saludos

Share this post


Link to post

Además de lo comentado por Caos, el System Watcher (módulo de protección que incluye capacidades bloqueo por comportamiento, Anti-Exploit y restauración de modificaciones del sistema) tiene sus limitaciones, no hace copia de seguridad de TODOS LOS ARCHIVOS del sistema, creo que sólo se limita a archivos muy concretos del espacio del usuario, y aún así tiene también sus límites, en estos casos la política de prevención y mantener copias de seguridad de los datos y/o clonados del sistema es vital y la clave.

Existen ciertamente configuraciones específicas del Control de Aplicaciones, tanto en los productos corporativos como en los domésticos de Kaspersky, para prevenir dicho tipo de ataques.

Saludos.

Share this post


Link to post

Hola

Muchas gracias por vuestras respuestas,  he estado investigando este fin de semana y si. El sistema de copias es el system watcher. Lo que me gustaría saber un poco mas de esta utilidad. Si hay un foro relacionado podéis mandarme el enlace.

Me gustaría saber donde realiza la copia de seguridad de estos archivos, como saber si esta o no activado y sobretodo como restaurar los archivos afectados.

 

Muchas gracias :D

Share this post


Link to post

El System Watcher, no es una utilidad, es un módulo integrado en la protección de los productos de Kaspersky, y como ya he comentado, no es realmente una utilidad orientada a hacer copias de seguridad:

https://support.kaspersky.com/sp/9101

https://support.kaspersky.com/sp/12676

Para hacer copias de seguridad te recomiendo Macrium Reflect Free o AOEMI Backupper, ambos son gratuitos, pero también tienen sus versiones de pago con más opciones y flexibilidad.

Saludos.

Share this post


Link to post

Me refería mejor dicho a eso, un modulo integrado. Gracias por la correccion.

Yo tengo en los servidores el paquete small office 5. En este caso lo tengo activado y en modo automático. Como podría hacer para recuperar los archivos encriptados gracias a este modulo?

Share this post


Link to post

Se supone que la recuperación en caso de ser posible, se hace de forma automática, y suele aparecer en Informes -> System Watcher, el registro de las acciones de éste módulo en caso de que haya entrado en acción.

Te recomiendo que al menos actualices al KSOS 6: https://support.kaspersky.com/sp/ksos6

Tu licencia del KSOS5 debería funcionar en el KSOS6.

Añadido: aquí tienes cómo configurar el Control de Aplicaciones también de forma específica contra cripto-virus: https://support.kaspersky.com/sp/12158#block1

Saludos.

Share this post


Link to post

Hola,

Adicionalmente recuerda que dicho módulo (System Watcher) no sustituye a la copia de seguridad.

Siempre se recomienda tener copia de seguridad de la información que consideremos importante para evitar sorpresas. Para ello puedes utilizar la opción copias de seguridad de tu producto : https://support.kaspersky.com/sp/14437

Muevo la consulta al foro de productos domésticos que es el lugar correcto.

Saludos

Share this post


Link to post

En estos casos de ransomware, nadie puede asegurarte estar bien protegido pues hay muchas variantes y cambiado de cifrados.....Las copias de seguridad de la empresa, deben tenerse en una zona sin conexión a los servidores, porque conozco a mi empresa y otra, que al estar conectados.... también les cifraron dichas copias. En estos casos.... es conveniente hacer copias y disponer de unas "seguras", sin conexión a red o servidores.

Es mi experiencia, vaya.... Eso sí, kaspersky para mi, es la opción más segura de protección...pero nada es 100% seguro.

Un saludo

Share this post


Link to post
hace 4 horas, harlan4096 dijo:

Se supone que la recuperación en caso de ser posible, se hace de forma automática, y suele aparecer en Informes -> System Watcher, el registro de las acciones de éste módulo en caso de que haya entrado en acción.

Te recomiendo que al menos actualices al KSOS 6: https://support.kaspersky.com/sp/ksos6

Tu licencia del KSOS5 debería funcionar en el KSOS6.

Añadido: aquí tienes cómo configurar el Control de Aplicaciones también de forma específica contra cripto-virus: https://support.kaspersky.com/sp/12158#block1

Saludos.

Hola

Y que se supone que recupera de forma automática?

He visto como actúa el antivirus ante ataques y como restaura archivos pero en este verano el servidor de uno de nuestros clientes ha sido atacado en dos ocasiones, con el system watcher activo y no ha habido manera de salvarlo. Por suerte hacemos copias externas cada semana en discos diferentes, cosa que nos salva pero me gustaría saber si en lugar de estar configurado de manera automática, si este se configura de manera que: Al detectar una amenaza este la bloquee, que finalice la aplicación en caso de que esta sea maliciosa y en caso de reversión la haga si o si. Kaspersky actué de manera mas restrictiva estando de esa manera configurada, es que como te digo, todos nuestros servidores están configurados de manera automática y viendo la respuesta en este que te he comentado, queremos una respuesta mas restrictiva ante otro virus

 

Share this post


Link to post

Recupera los archivos (que pueda, y que fueron cifrados) en la misma carpeta donde estuvieran y con el mismo nombre...

Como ya dije antes, si el ataque es hecho por un ransomware de rápido y agresivo cifrado (que los hay), System Watcher tienes sus límites...

En cuanto a lo 2º que comentas, básicamente es algo parecido a uno de los enlaces que ya te di antes, crear categorías de archivos protegidas, etc... reconfigurar el Control de Aplicaciones para que las aplicaciones desconocidas las lleve al grupo de Restricción Mínima o Máxima, aunque esto puede llevar a dichos grupos aplicaciones legítimas si no son muy conocidas, pero si en el servidor no estáis instalando cada 2 x 3 aplicaciones... otra opción algo más agresiva es desactivar la opción de Confiar en aplicaciones firmadas digitalmente, todo esto puede mitigar/parar un ataque de un ransomware desconocido hasta la fecha, pero también puede bloquear instalaciones de aplicaciones legítimas, aunque siempre se pueden mover manualmente al grupo de Confianza.

Saludos.

Share this post


Link to post
En 29/10/2018 a las 17:38, Apolonio dijo:

En estos casos de ransomware, nadie puede asegurarte estar bien protegido pues hay muchas variantes y cambiado de cifrados.....Las copias de seguridad de la empresa, deben tenerse en una zona sin conexión a los servidores, porque conozco a mi empresa y otra, que al estar conectados.... también les cifraron dichas copias. En estos casos.... es conveniente hacer copias y disponer de unas "seguras", sin conexión a red o servidores.

Es mi experiencia, vaya.... Eso sí, kaspersky para mi, es la opción más segura de protección...pero nada es 100% seguro.

Un saludo

Lo se, al final es la solución mas fiable. Copias externas y sin conexión

En 29/10/2018 a las 19:03, harlan4096 dijo:

Recupera los archivos (que pueda, y que fueron cifrados) en la misma carpeta donde estuvieran y con el mismo nombre...

Como ya dije antes, si el ataque es hecho por un ransomware de rápido y agresivo cifrado (que los hay), System Watcher tienes sus límites...

En cuanto a lo 2º que comentas, básicamente es algo parecido a uno de los enlaces que ya te di antes, crear categorías de archivos protegidas, etc... reconfigurar el Control de Aplicaciones para que las aplicaciones desconocidas las lleve al grupo de Restricción Mínima o Máxima, aunque esto puede llevar a dichos grupos aplicaciones legítimas si no son muy conocidas, pero si en el servidor no estáis instalando cada 2 x 3 aplicaciones... otra opción algo más agresiva es desactivar la opción de Confiar en aplicaciones firmadas digitalmente, todo esto puede mitigar/parar un ataque de un ransomware desconocido hasta la fecha, pero también puede bloquear instalaciones de aplicaciones legítimas, aunque siempre se pueden mover manualmente al grupo de Confianza.

Saludos.

Muchas gracias por la ayuda, mirare mas lo del control de aplicaciones. Me interesa saber como hacer que kaspersky se lo mas restrictivo frente a estos ataques

Edited by David_csi

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.