Virus RANSOMWARE .evil Encripta nuestro servidor Windows 2012

[RAFAECIJA]

Virus RANSOMWARE .evil Encripta nuestro servidor Windows 2012 lo teniamos proteguido con Kaspersky Small Office Security 6 Que hemos de hacer para recuperar los archivos encryptados?

[Guest #37]

Hola, Muevo tu consulta al foro b2c, el KSOS es un producto doméstico, no corporativo. Por favor sube la información necesaria para que podamos ayudarte (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, sube tu getsysteminfo (gsi) ,utilizando la ultima versión disponible del mismo, para revisarlo, etc...). Para generar el getsysteminfo (gsi) revisa este enlace: http://support.kaspersky.com/sp/general/dumps/3632#block1 Getsysteminfo (GSI) descarga directa: http://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.zip El informe comprimido resultante lo puedes subir a un servidor de archivos gratuito: 1.- Visita https://www.upload.ee/ 2.- Pulsa en: Choose file: [Browse] y selecciona el archivo zip recién generado por GetSystemInfo.exe, inicia la subida pulsando en [Upload]. 3.- Cuando termine el proceso de subida, copia el primer enlace llamado "Direct Link:", para ello: haz 1 click con el botón izquierdo del ratón sobre la zona del enlace, una vez sobreiluminado, pulsa 1 click con el botón derecho del ratón y elige Copiar en el menú desplegable. 4.- Péganos en tu próximo mensaje del foro dicho enlace para proceder a su descarga. Además de adjuntar el fichero gsi, es recomendable enviar el enlace-dirección URL de la Web que se genera con el informe, para facilitar la labor. Revisa y configura KSOS usando esto: https://support.kaspersky.com/sp/14801 Revisa también cómo funciona el ransomware: https://www.kaspersky.com/blog/ransomware-faq/13387/ Recuerda que cualquier Antivirus no puede garantizar el 100% de protección, detección, etc ... En cuanto a recuperar/descifrar los archivos, normalmente este tipo de malware cifra los archivos con unas claves de bits muy altas, y en casos muy muy contados se puede crear un descifrador, normalmente por fallo o descuido en la programación del malware. Pero en la gran mayoría no es posible, por lo menos de momento. Puedes comprobar si el ransomware que te atacó tiene actualmente posibilidad de ser descifrado aquí: https://id-ransomware.malwarehunterteam.com/index.php?lang=es_ES Puedes encontrar información que te puede ayudar aquí: https://www.nomoreransom.org/es/index.html También prueba con las utilidades que ofrece Kaspersky: http://support.kaspersky.com/viruses/utility Abra un ticket de soporte en mi cuenta de Kaspersky, envíales una muestra de un archivo cifrado, y si tiene el mismo archivo sin cifrar. ¿No tienes copia de seguridad? Saludos

[Guest #37]

Adicionalmente prueba con este descifrador para la v1.0: https://download.bleepingcomputer.com/demonslay335/InsaneCryptDecrypter.zip Pero supongo que te habrán infectado con la nueva versión en la que ya no funciona. Saludos

[RAFAECIJA]

Seguire las indicaciones. El virus hizo lo que nunca habia visto, encryptó la copia de seguridad de Windows que estaba en un volumen de disco sin unidad mapeada. En otras ocasiones no habia podido llegar alli. Paro una instancia SQL y encripto las bases de datos Saludos

[Guest #37]

Hola, Tampoco he visto eso. Si resides en España puedes contactar con soporte en: https://support.kaspersky.com/b2c/ES Para que evaluen lo sucedido. De todas maneras es una buena idea sacar una copia de seguridad a un hd externo que no este conectado a la red, etc... Con un único sistema de copia de seguridad en mi opinión personal no es suficiente actualmente. Saludos

[KURSKS]

La mejor copia de seguridad es un disco duro externo, desconectado y apagado y guardado en un armario hasta la siguiente sincronización. Telita al nivel que hemos llegado en la última década con el ransomware. Hoy en día es muy difícil no perder algo de información porque luego, en el día a día, si no tienes automatizada la copia de seguridad, uno la va posponiendo (porque nunca viene bien hacerla con los líos del día a día)...y luego pasa lo que pasa.