«Eliminando» virus ransomware

Publicado por carlos144 en

Una batalla que peleé a 15 días de entrar a la empresa que me contrata para administrar sus servidores y que tres meses después creo haber eliminado un virus ransonware exitosamente. !espero!

Un poco de contexto

Quiero dar unos pocos consejos al grano, sobre la eliminación de un virus ramsonware cuya extensión fue (.adobe) en mi caso.

  1. Nunca antes el antivirus dio alarma, claro yo no lo instale pero teníamos en el servidor 360 security, en mi opinión parece mas un virus que un antivirus.
  2. Estamos hablando de windows server 2012.
  3. Me di cuenta solo en el día cero (zero day) cuando dejan de funcionar los programas por que el ataque encripta los archivos del disco, al parecer si tenia un criterio pero aun no doy que y cuales fueron para atacar solo algunas cosas, eso si fueron miles de archivos encriptados.
  4. Se propago en la red local, evidencie ataques desde otros equipos, que se formatearon de inmediato, esto segun entiendo por el puerto de conexión remota.

Eliminando el virus

  1. Solo «symantec end point» fue capas de detenerlo, no eliminarlo.
  2. Esta herramienta tiene un conflicto con windows server, aun no entiendo por que funciona, si windows detiene la tarea.
  3. Elimine buscando y filtrando por la extensión .adobe todos los archivos encriptados y perdidos, claro solo yo puedo hacerlo ya tenia backup de todo.
  4. Busque por internet, y encontré cientos de blog que se aprovechan del ataque para meternos mas virus, las supuestas herramientas para eliminar el virus ninguna funciono.
  5. Corrí herramientas de avast, nod32, mcafee, kaspersky, que tienen en sus paginas como des encriptadores, que en mi caso no funcionaron.
  6. Reinicie y actualice windows server 2012.

Coronando

Sinceramente, después de hacer todo esto, durante tres meses todos los días seguían llegando reportes del antivirus sobre ataques que siempre se producían en la noche, cambiaba de puertos pero curiosamente las horas eran generalmente las mismas.

Un día cualquiera, encontré una herramienta que me permite «graficar» el uso de disco y esta muestra archivos ocultos y del sistema, cuando, eureca, vi archivos .thumbs con extenciones .adobe, di click derecho y el antivirus de inmediato se disparo, entonces busque y elimine todos estos, mas o menos unos 50 que jamas nunca había visto, son ocultos por el sistema y no se dejan borrar normalmente.

Llevo 8 días sin volver a ver reportes de ataques, mi sospecha informática me puede decir que tal vez muto, pero por ahora estoy tranquilo por que por fin veo que «gane».

Saludos.

Carlos Alfonso

@carlosaalf

Categorías: Oferta

Entradas relacionadas

Oferta

Masivos por WhatsApp

Masivos por whatsApp a $20 Si tienes una base de datos de clientes y necesitas tenerlos actualizados de tus productos o servicios,  tenemos la solución. Alista los numeros telefonicos en un excel. Redacta un mensaje  Leer más…

Oferta

Backup automaticos, el mejor camino para no perder información.

Las PYMES, constantemente se ven en el riesgo de perder informacion, sobre todo cuando manejan por ejemplo sus programas constables en equipos locales, no es extraño ver empresas pequeñas con sus contabilidades en el mismo Leer más…

Oferta

Kodi, LibreELEC al final Linux Lite

Ya son tres veces que trato de apostarle a kodi, en otras ocasiones lo instale como aplicación y en esta ultima lo instale con LibreELEC. Son aplicaciones que prometen bastante como centro multimedia para el Leer más…