David_csi Posted October 26, 2018 Hola buenas tardes. Desde que mi jefe ha llegado de un evento donde varias marcas exponían sus productos, tengo la curiosidad por algo que le ha dicho un comercial de kaspersky. Resulta que mi jefe le comento lo complicado que es actuar contra los ransomware y este buen hombre le comento que configurando bien kaspersky teníamos solución. Diciendole que hay una utilidad de kaspersky que al detectar el ransomware, kaspersky detiene el proceso de encriptacion para asi acto seguido ejecutar una acopia de seguridad automática, datos encriptados incluidos. Haciendo asi posible la restauración de los archivos ademos de desencriptar los archivos dañados. No se he mirado un poco por internet y me da que se ha subido un poco a las nubes este hombre. Alguien de por aquí ha escuchado algo de esto? Un saludo y gracias Share this post Link to post
Caos Posted October 29, 2018 Hola, Por lo que comentas, parece que hablas de las funcionalidades del producto doméstico Kaspersky Total Security, es el único producto capaz de realizar una copia de seguridad de los datos. Además mediante System Watcher pueden detener un proceso de cifrado, pero la copia de seguridad no se realiza automáticamente, debe configurarse. Por otro lado, a nivel producto corporativo, la prevención por parte del Kaspersky Endpoint Security de ramsonware se realiza mediante el KSN, System Watcher, y el control de inicio de aplicaciones. Saludos Share this post Link to post
harlan4096 Posted October 29, 2018 Además de lo comentado por Caos, el System Watcher (módulo de protección que incluye capacidades bloqueo por comportamiento, Anti-Exploit y restauración de modificaciones del sistema) tiene sus limitaciones, no hace copia de seguridad de TODOS LOS ARCHIVOS del sistema, creo que sólo se limita a archivos muy concretos del espacio del usuario, y aún así tiene también sus límites, en estos casos la política de prevención y mantener copias de seguridad de los datos y/o clonados del sistema es vital y la clave. Existen ciertamente configuraciones específicas del Control de Aplicaciones, tanto en los productos corporativos como en los domésticos de Kaspersky, para prevenir dicho tipo de ataques. Saludos. Share this post Link to post
David_csi Posted October 29, 2018 Hola Muchas gracias por vuestras respuestas, he estado investigando este fin de semana y si. El sistema de copias es el system watcher. Lo que me gustaría saber un poco mas de esta utilidad. Si hay un foro relacionado podéis mandarme el enlace. Me gustaría saber donde realiza la copia de seguridad de estos archivos, como saber si esta o no activado y sobretodo como restaurar los archivos afectados. Muchas gracias Share this post Link to post
harlan4096 Posted October 29, 2018 El System Watcher, no es una utilidad, es un módulo integrado en la protección de los productos de Kaspersky, y como ya he comentado, no es realmente una utilidad orientada a hacer copias de seguridad: https://support.kaspersky.com/sp/9101 https://support.kaspersky.com/sp/12676 Para hacer copias de seguridad te recomiendo Macrium Reflect Free o AOEMI Backupper, ambos son gratuitos, pero también tienen sus versiones de pago con más opciones y flexibilidad. Saludos. Share this post Link to post
David_csi Posted October 29, 2018 Me refería mejor dicho a eso, un modulo integrado. Gracias por la correccion. Yo tengo en los servidores el paquete small office 5. En este caso lo tengo activado y en modo automático. Como podría hacer para recuperar los archivos encriptados gracias a este modulo? Share this post Link to post
harlan4096 Posted October 29, 2018 Se supone que la recuperación en caso de ser posible, se hace de forma automática, y suele aparecer en Informes -> System Watcher, el registro de las acciones de éste módulo en caso de que haya entrado en acción. Te recomiendo que al menos actualices al KSOS 6: https://support.kaspersky.com/sp/ksos6 Tu licencia del KSOS5 debería funcionar en el KSOS6. Añadido: aquí tienes cómo configurar el Control de Aplicaciones también de forma específica contra cripto-virus: https://support.kaspersky.com/sp/12158#block1 Saludos. Share this post Link to post
Caos Posted October 29, 2018 Hola, Adicionalmente recuerda que dicho módulo (System Watcher) no sustituye a la copia de seguridad. Siempre se recomienda tener copia de seguridad de la información que consideremos importante para evitar sorpresas. Para ello puedes utilizar la opción copias de seguridad de tu producto : https://support.kaspersky.com/sp/14437 Muevo la consulta al foro de productos domésticos que es el lugar correcto. Saludos Share this post Link to post
Apolonio Posted October 29, 2018 En estos casos de ransomware, nadie puede asegurarte estar bien protegido pues hay muchas variantes y cambiado de cifrados.....Las copias de seguridad de la empresa, deben tenerse en una zona sin conexión a los servidores, porque conozco a mi empresa y otra, que al estar conectados.... también les cifraron dichas copias. En estos casos.... es conveniente hacer copias y disponer de unas "seguras", sin conexión a red o servidores. Es mi experiencia, vaya.... Eso sí, kaspersky para mi, es la opción más segura de protección...pero nada es 100% seguro. Un saludo Share this post Link to post
David_csi Posted October 29, 2018 hace 4 horas, harlan4096 dijo: Se supone que la recuperación en caso de ser posible, se hace de forma automática, y suele aparecer en Informes -> System Watcher, el registro de las acciones de éste módulo en caso de que haya entrado en acción. Te recomiendo que al menos actualices al KSOS 6: https://support.kaspersky.com/sp/ksos6 Tu licencia del KSOS5 debería funcionar en el KSOS6. Añadido: aquí tienes cómo configurar el Control de Aplicaciones también de forma específica contra cripto-virus: https://support.kaspersky.com/sp/12158#block1 Saludos. Hola Y que se supone que recupera de forma automática? He visto como actúa el antivirus ante ataques y como restaura archivos pero en este verano el servidor de uno de nuestros clientes ha sido atacado en dos ocasiones, con el system watcher activo y no ha habido manera de salvarlo. Por suerte hacemos copias externas cada semana en discos diferentes, cosa que nos salva pero me gustaría saber si en lugar de estar configurado de manera automática, si este se configura de manera que: Al detectar una amenaza este la bloquee, que finalice la aplicación en caso de que esta sea maliciosa y en caso de reversión la haga si o si. Kaspersky actué de manera mas restrictiva estando de esa manera configurada, es que como te digo, todos nuestros servidores están configurados de manera automática y viendo la respuesta en este que te he comentado, queremos una respuesta mas restrictiva ante otro virus Share this post Link to post
harlan4096 Posted October 29, 2018 Recupera los archivos (que pueda, y que fueron cifrados) en la misma carpeta donde estuvieran y con el mismo nombre... Como ya dije antes, si el ataque es hecho por un ransomware de rápido y agresivo cifrado (que los hay), System Watcher tienes sus límites... En cuanto a lo 2º que comentas, básicamente es algo parecido a uno de los enlaces que ya te di antes, crear categorías de archivos protegidas, etc... reconfigurar el Control de Aplicaciones para que las aplicaciones desconocidas las lleve al grupo de Restricción Mínima o Máxima, aunque esto puede llevar a dichos grupos aplicaciones legítimas si no son muy conocidas, pero si en el servidor no estáis instalando cada 2 x 3 aplicaciones... otra opción algo más agresiva es desactivar la opción de Confiar en aplicaciones firmadas digitalmente, todo esto puede mitigar/parar un ataque de un ransomware desconocido hasta la fecha, pero también puede bloquear instalaciones de aplicaciones legítimas, aunque siempre se pueden mover manualmente al grupo de Confianza. Saludos. Share this post Link to post
David_csi Posted November 8, 2018 (edited) En 29/10/2018 a las 17:38, Apolonio dijo: En estos casos de ransomware, nadie puede asegurarte estar bien protegido pues hay muchas variantes y cambiado de cifrados.....Las copias de seguridad de la empresa, deben tenerse en una zona sin conexión a los servidores, porque conozco a mi empresa y otra, que al estar conectados.... también les cifraron dichas copias. En estos casos.... es conveniente hacer copias y disponer de unas "seguras", sin conexión a red o servidores. Es mi experiencia, vaya.... Eso sí, kaspersky para mi, es la opción más segura de protección...pero nada es 100% seguro. Un saludo Lo se, al final es la solución mas fiable. Copias externas y sin conexión En 29/10/2018 a las 19:03, harlan4096 dijo: Recupera los archivos (que pueda, y que fueron cifrados) en la misma carpeta donde estuvieran y con el mismo nombre... Como ya dije antes, si el ataque es hecho por un ransomware de rápido y agresivo cifrado (que los hay), System Watcher tienes sus límites... En cuanto a lo 2º que comentas, básicamente es algo parecido a uno de los enlaces que ya te di antes, crear categorías de archivos protegidas, etc... reconfigurar el Control de Aplicaciones para que las aplicaciones desconocidas las lleve al grupo de Restricción Mínima o Máxima, aunque esto puede llevar a dichos grupos aplicaciones legítimas si no son muy conocidas, pero si en el servidor no estáis instalando cada 2 x 3 aplicaciones... otra opción algo más agresiva es desactivar la opción de Confiar en aplicaciones firmadas digitalmente, todo esto puede mitigar/parar un ataque de un ransomware desconocido hasta la fecha, pero también puede bloquear instalaciones de aplicaciones legítimas, aunque siempre se pueden mover manualmente al grupo de Confianza. Saludos. Muchas gracias por la ayuda, mirare mas lo del control de aplicaciones. Me interesa saber como hacer que kaspersky se lo mas restrictivo frente a estos ataques Edited November 8, 2018 by David_csi Share this post Link to post