Duda sobre los Ransomware

A raíz de ataque reciente del ransomware WannaCry me ha dado por hacer una pregunta un poco estúpida pero que me tiene intrigado. Antes de nada os pongo lo que se sobre ellos (para que me digáis si estoy o no equivocado) ya que todo esto es pura teoria en base a los 2 ransomware con los que he tenido la desgracia de lidiar (ninguno de ellos en mis PCs gracias a dios)
Según se cada ransomware tiene una forma distinta de encriptar los archivos (y distintos sistemas de encriptación dependiendo del ransomware).

La inmensa mayoría de ellos no cifran todo el archivo (con el objetivo de poder así cifrar el máximo numero de archivos en el menor tiempo posible para evitar que el usuario se de cuenta y reaccione a tiempo). Básicamente entiendo que la mayoría de ellos:

1) Omiten los primeros 512 bytes del archivo para que el encabezado del archivo permanezca intacto y asi Windows pueda identificar el archivo como un .doc un .pdf un vídeo, una imagen ect...).
2) Cifrar el primer MB de datos utilizando la clave de cifrado publica.
3) Si el archivo es más pesado de ese MB , deja el resto sin cifrar.

Normalmente el cifrado suele ir a una velocidad de 30MB/s en un HDD de 5400rpm lo que dependiendo de la cantidad de ficheros suele llevar entre 30 minutos y 9h en los PC de usuarios normales.

La pregunta es si yo restrinjo los permisos de todas las unidades/carpetas que me intereses para el grupo administradores a solo lectura y ejecución y que para hacer funciones de escritura o borrado me pida identificarme con la cuenta Administrador ¿eso no joderia totalmente a ransomware?.
O incluso aun mas fácil vía software decirle al sistema que pida autentificación cada vez que se quiera modificar o borrar un archivo o carpeta hay aplicaciones sencillas para eso a patadas.

De esta forma podrías usar una cuenta con derechos administrativos sin sufrir los pormenores de las cuentas limitadas/estándar de windows o al menos así de fácil lo veo yo

¿Estoy en un error de metodología?

Saludos
Tu lo que quieres es implementar el sistema de permisos de Linux en Ventanucos.

Lo que dices, en teoría, debería funcionar. Y de hecho funciona en la mayoría de los casos (usar una cuenta restringida para uso diario). Pero depende del virus en cuestión. Si este hace una escalada de privilegios o sabotea al sistema de permisos de windows no vale de nada. Ten en cuenta que algunas vulnerabilidades aprovechan servicios de windows que son "propiedad" del administrador y pueden ejecutar cualquier código.
Pero, por supuesto, es lo primero que habría que hacer.

Siguiendo con tu razonamiento (comparar varios virus) se puede ver que estos suelen encriptar los archivos siguiendo un orden: alfabético, por tamaño, etc. Pues lo que haces es poner archivos "trampa" al principio y al final de cada ordenación (y en sitios estratégicos) que se te ocurra y vigilarlos. Si estos archivos se modifican significa que algo raro ocurre y lo mejor es apagar el sistema inmediatamente. Eso lo leí en el blog de Chema Alonso, por lo que supongo que telefónica tendría un sistema muy similar.
Los virus ranssomware solo infectan archivos del usuario, que yo sepa no escalan privilegios.

Asi que si tienes ficheros tal que asi.

Todos -> Lectura, Ejecuccion
Adminstrador -> Lectura, Escritura, Ejecuccion.


En el PC tienes 2 usuarios.
Juan -> Administrador
Manolo -> Usuario limitado.

SI siempre entras como Manolo el virus, solo podra infectar ficheros en los que Manolo pueda grabar.

Existen herramientas para randsomware:

https://www.foolishit.com/cryptoprevent ... revention/

¿Que tiene de malo las cuentas limitadas? Es lo que se deberia usar siempre
Esog Enaug escribió:Tu lo que quieres es implementar el sistema de permisos de Linux en Ventanucos.

Lo que dices, en teoría, debería funcionar. Y de hecho funciona en la mayoría de los casos (usar una cuenta restringida para uso diario). Pero depende del virus en cuestión. Si este hace una escalada de privilegios o sabotea al sistema de permisos de windows no vale de nada. Ten en cuenta que algunas vulnerabilidades aprovechan servicios de windows que son "propiedad" del administrador y pueden ejecutar cualquier código.
Pero, por supuesto, es lo primero que habría que hacer.

Siguiendo con tu razonamiento (comparar varios virus) se puede ver que estos suelen encriptar los archivos siguiendo un orden: alfabético, por tamaño, etc. Pues lo que haces es poner archivos "trampa" al principio y al final de cada ordenación (y en sitios estratégicos) que se te ocurra y vigilarlos. Si estos archivos se modifican significa que algo raro ocurre y lo mejor es apagar el sistema inmediatamente. Eso lo leí en el blog de Chema Alonso, por lo que supongo que telefónica tendría un sistema muy similar.


Por supuesto hay ransomware que cifran todo el archivo o que solo cifran archivos con determinada extensión (.doc, .pdf, mp4 ect...) pero son una minoría pues cifrar todo el archivo incrementa el tiempo de forma exponencial (yo tengo 8,35TB de datos ocupados en 4 HDD si tuvieran que cifrarlo todo a 30MB/s tardarían algo así como 81H (imposible sin que yo me de cuenta antes) :o
En cambio si solo cifran el primer MB de datos la cosa cambia porque ya no dependes del Tamaño de MB ocupados en el HDD si no de la cantidad de archivos que tengas (yo por ejemplo tengo un total de 843.808 archivos por lo que tardaría 7h y 48 minutos en cifrarme todos los archivos. Pero es que hay mas porque la inmensa mayoría del espacio ocupado son archivos de vídeo pesados (26.003 archivos ocupan 7TB) por lo que en apenas 14 minutos y medio me joderían vivo. Y esto es el tiempo aproximado en un HDD de 5400rpm solo de pensar cuanto tardaría en unidades SSD da escalofríos.

Así pues lo puesto en rojo no sirve de nada porque en menos de 15 minutos puede perfectamente cifrar 7TB de datos como ves (y eso sin contar con la aceleración por Hardware de AES)

Si bien es cierto que hay programas (como los puestos por el usuario @alex120 que hacen esto de forma automática (cuando detectan que cierto archivos trampas son cifrados te salta una alarma y con algo de suerte no das tiempo a que el ransomware llegue a nada importante.

Pero mi dudas al crear el hilo eran:
1) Si hacia escalada o no de privilegios
2) Si bastaba con algún software que diera avisos de modificación/borrado de archivos para pillar al ransomware.
3) Y si había alguna manera (tal y como dices) de que sin usar software externo pudiese implementar el sistema de permisos de Linux en wndows.

@alex120
Las cuentas limitadas no es que tenga nada malo es que par cierto tipo de usos son muy restrictivas (puedes crear cuentas personalizadas con diverso nivel de premisos) pero windows es algo puñetero en ese sentido cuando lo único que te interesa es que te pida confirmación para borrar o modificar un archivo.

Yo mismo tengo una de esas cuentas (permisos de solo lectura y ejecución) que uso solo en modo sandbox cuando hay algún archivo o usb sospechoso. Pero para mi trabajo habitual donde modifico ficheros/instalo y desinstalo plugins de edición de forma constante una cuenta estándar me es engorrosa (lo mejor es una cuenta con cierta elevación de permisos que no llegue a ser administrativa lo se) pero es que en este caso concreto lo único que interesa es simplemente que windows pidiese confirmación de borrado/modificado algo que es de cajon en linux en windows algo tan simple es más complicado de hacer (de hecho no estoy seguro de como hacerlo de hay que pregunte).

Es decir se modificar permisos/autorias pero eso no es exactamente lo que quiero pues eso restringe mucho cuando con que simplemente saliese una ventana aviso de permitir/denegar bastaría.

Saludos
Perfect Ardamax escribió:
Esog Enaug escribió:Siguiendo con tu razonamiento (comparar varios virus) se puede ver que estos suelen encriptar los archivos siguiendo un orden: alfabético, por tamaño, etc. Pues lo que haces es poner archivos "trampa" al principio y al final de cada ordenación (y en sitios estratégicos) que se te ocurra y vigilarlos. Si estos archivos se modifican significa que algo raro ocurre y lo mejor es apagar el sistema inmediatamente. Eso lo leí en el blog de Chema Alonso, por lo que supongo que telefónica tendría un sistema muy similar.


Por supuesto hay ransomware que cifran todo el archivo o que solo cifran archivos con determinada extensión (.doc, .pdf, mp4 ect...) pero son una minoría pues cifrar todo el archivo incrementa el tiempo de forma exponencial (yo tengo 8,35TB de datos ocupados en 4 HDD si tuvieran que cifrarlo todo a 30MB/s tardarían algo así como 81H (imposible sin que yo me de cuenta antes) :o
En cambio si solo cifran el primer MB de datos la cosa cambia porque ya no dependes del Tamaño de MB ocupados en el HDD si no de la cantidad de archivos que tengas (yo por ejemplo tengo un total de 843.808 archivos por lo que tardaría 7h y 48 minutos en cifrarme todos los archivos. Pero es que hay mas porque la inmensa mayoría del espacio ocupado son archivos de vídeo pesados (26.003 archivos ocupan 7TB) por lo que en apenas 14 minutos y medio me joderían vivo. Y esto es el tiempo aproximado en un HDD de 5400rpm solo de pensar cuanto tardaría en unidades SSD da escalofríos.

Así pues lo puesto en rojo no sirve de nada porque en menos de 15 minutos puede perfectamente cifrar 7TB de datos como ves (y eso sin contar con la aceleración por Hardware de AES)

Si bien es cierto que hay programas (como los puestos por el usuario @alex120 que hacen esto de forma automática (cuando detectan que cierto archivos trampas son cifrados te salta una alarma y con algo de suerte no das tiempo a que el ransomware llegue a nada importante.


El tiempo de reacción puede ser sorprendentemente rápido. Si mantienes esos archivos trampa "abierto" el SO te avisa inmediatamente del acceso no autorizado, lo que desencadena un apagado. Si crees que no vale de nada estas totalmente equivocado.

[quote="Perfect Ardamax"
Pero mi dudas al crear el hilo eran:
1) Si hacia escalada o no de privilegios
2) Si bastaba con algún software que diera avisos de modificación/borrado de archivos para pillar al ransomware.
3) Y si había alguna manera (tal y como dices) de que sin usar software externo pudiese implementar el sistema de permisos de Linux en wndows.
[/quote]

1) Depende del virus, pero si entra con acceso de administrador no le hace falta.
2) ¿Y como distingues un acceso "bueno" de uno "malo"? Con archivos trampa :D
3) No. El sistema de permisos de linux usa características del sistema de archivos. NTFS no está pensado para eso.
No responde a tus preguntas pero te paso 2 utilidades interesantes para el tema de Ransomware:

1) Anti Ransom.
2) Latch ARW

Saludos ;)
@Perfect Ardamax

Lo que deverias es usar cuenta limitada, y escalar privilegios cuando sea necesario

En NT4, win2000 y XP se usaban funciones de la API llamadas impersonation, que ni cristo usaba, exepto admin competentes con diferentes herramientas. Luego salieron algunas herramientas como sudown o sudowin para faciltar el tema


En sistemas mas nuevos, yo supongo sudown sigue funcionando, hace algun tiempo lo compile para 64bits, en version consola

Yo sigo usando XP x64, asi q solo lo he probado en este sistema

https://www.elotrolado.net/hilo_sudown-compilado-para-64bits_2184204

Imagen


Lamentablemente este tipo de buenas practicas, no le importa un pimiento a casi nadie


Todo el sistema de permisos de windows 8.1 y superiores a mi parecer es una mierda trinchada en un palo para usuarios avanzados, creo que win7 tambien, no recuerdo

Habia escrito algo tiempo atras

https://www.elotrolado.net/hilo_como-puedo-evitar-permisos-de-administrador-en-windows-10_2144916






Esog Enaug escribió:Tu lo que quieres es implementar el sistema de permisos de Linux en Ventanucos.


Entiendo que quiere meter casi todo como lectura sin escritura, aun usando admin
theelf escribió:
Esog Enaug escribió:Tu lo que quieres es implementar el sistema de permisos de Linux en Ventanucos.


Entiendo que quiere meter casi todo como lectura sin escritura, aun usando admin


¿Y se puede hacer?
@Esog Enaug

Si, pero como el admin puede cambiar los permisos... pues no se si es util o no
theelf escribió:@Perfect Ardamax

Lo que deberías es usar cuenta limitada, y escalar privilegios cuando sea necesario

En NT4, win2000 y XP se usaban funciones de la API llamadas impersonation, que ni cristo usaba, excepto admin competentes con diferentes herramientas. Luego salieron algunas herramientas como sudown o sudowin para faciltar el tema

En sistemas mas nuevos, yo supongo sudown sigue funcionando, hace algun tiempo lo compile para 64bits, en version consola.

Yo sigo usando XP x64, así que solo lo he probado en este sistema

https://www.elotrolado.net/hilo_sudown-compilado-para-64bits_2184204

Imagen


Lamentablemente este tipo de buenas practicas, no le importa un pimiento a casi nadie


Todo el sistema de permisos de windows 8.1 y superiores a mi parecer es una mierda trinchada en un palo para usuarios avanzados, creo que win7 tambien, no recuerdo

Había escrito algo tiempo atrás

https://www.elotrolado.net/hilo_como-puedo-evitar-permisos-de-administrador-en-windows-10_2144916


Esog Enaug escribió:Tu lo que quieres es implementar el sistema de permisos de Linux en Ventanucos.


Entiendo que quiere meter casi todo como lectura sin escritura, aun usando admin


@Esog Enaug y @theelf
Voy a explayarme (para intentar explicarme):

Yo ahora mismo en el PC de "trabajo" estoy en Windows 7 (tuve que asarme forzosamente al no poder usar cierta aplicación en XP x64).
La aplicación que as puesto me puede ser muy útil (gracias). Esta noche la probare no obstante si dices (en su momento por lo que leo) la probaste en W8 y funcionaba en W7 no debería dar problemas.

Respecto a lo que "quería" era simplemente que en determinados directorios (incluyendo los archivos y subdirectorios) Windows incluso siendo yo administrador me pidiera si o si confirmación antes de borrar o modificar los archivos de dicho directorio.
Y que me permitiese así Denegar (en caso necesario) la operación de modificado/borrado.

En carpetas del sistema como la carpeta Windows esta opción es impracticable (puesto que el SO usas archivos de ese directorio de forma constante y por lo tanto constantemente me saltarían mensajes de permitir/denegar). Pero en otro tipo de ubicaciones como "Documentos" o "Escritorio" o los múltiples HDD esclavos que tengo dicha función seria muy util porque me permitirá discernir modificaciones legitimas (las que estoy haciendo yo justo en ese preciso instante) y las que no.

Piensa en ello como un UAC avanzado (personalizado por directorios) en el que si un directorio (con sus correspondientes archivos y subdirectorios) protegido previamente por tí con ese "UAC personal" fuese a ser modificado o borrado saltara un mensaje como el de UAC:
Imagen

Con un mensaje parecido a:
Dicho archivo/directorio esta intentando ser eliminado por el programa C:\Users\Admin\AppData\Local\Temp\virus.exe
Con proceso llamado dmw.exe

Con algo tan simple como eso evitas cualquier malware que tenga como función modificarte o borrarte archivos de carpetas que "tú" consideres importantes.
(Obviamente nadie le daría a "Permitir")
Es mas en el caso concreto de los Ransomware dicha ventana de advertencia te saltaría por cada archivo (dentro del directorio protegido) que el Ransomware intentara modificar por lo que simplemente ante el hecho de que te saltaran (supongamos que tienes 100 archivos importantes en la carpeta protegida) 100 ventanas de aviso una tras otra ya es que incluso una persona inepta no le daria 100 veces a "Permitir" sin antes leer que cojones esta diciendo el mensaje.
Y ya lo bordamos si implementamos "X" (Cerrar) como un denegar and cerrar (incluso el mayor inepto que le diera a "Cerrar Grupo" salvaría sus datos).
Ademas de que solo el hecho de que te saltaran 100 advertencias ya delataría la propia existencia del malware (aunque el antivirus de turno no lo detectase).

Se que esto no lo lleva Windows implementado. Así pues mi consulta era más bien dirigida a métodos similares (que tuvieran el mismo efecto) si el engorro (y mal diseño) del sistema de permisos actuales de Windows.

Lo que dice @theelf de:
theelf escribió:Entiendo que quiere meter casi todo como lectura sin escritura, aun usando admin


Es una solución valida como también lo es la de dar permiso de "solo lectura" a directorios concretos del sistema (aun siendo parte del grupo administradores) cosa que se puede hacer perfectamente desde "propiedades" en la pestaña de "seguridad".

Pero dicha solución (al igual que la de modificar permisos o la de trabajar con cuentas limitadas en windows) es igualmente engorroso cuando "yo de forma legitima" quiera borrar/ modificar los archivos/directorios sobre los cuales no tengo permiso suficientes.

Cundo como digo con que solo Windows diese una "advertencia" basta (de echo si me fuerzas incluso diría que es más util en casos de verdadera necesidad que en nefasto sistema de permisos de windows).

Es por eso que en ese sentido me gusta más linux (porque aunque resulte pesado a veces) porque te obliga a poner tú calve para borrar/modificar archivos importantes (archivos que dicho sea de paso puedes personalizar y decirle a linux que archivos o directorios deben ser considerados como tales).

Saludos
Creo que casi tu mismo te estás contestando.

La organización de permisos no permite establecer "avisos" para borrar o modificar cualquier cosa, simplemente se basa en que el usuario X puede o no puede realizar tal acción. Y revocar permisos a un usuario lo que obliga es que necesites acceder como administrador o como otro usuario que realmente los tenga para modificar dichos datos. No puedes establecer un "aviso de modificación".

Por diseño, los archivos del usuario son "del usuario" y por tanto puede hacer con ellos lo que le de la real gana. Por eso, siguiendo esa lógica no tiene sentido lo que planteas; y la misma lógica te diría que pedirle al usuario una confirmación cada vez que quiera modificar algo "suyo" convertiría a cualquier trabajo en una tarea contraproducente. La idea detrás de esto es: Que el usuario haga lo que le de la puñetera gana dentro de su "cajita" mientras no me toque el resto del sistema.

Por otra parte el UAC existe por tema de simplificación. Es el mismo principio que el pedirle la contraseña al usuario en linux cada vez que quiera cambiar algo del sistema, sólo que con un simple cuadro de diálogo pidiendo confirmación. No obstante, puedes simular este mismo comportamiento si separas completamente usuarios de administradores. Si dejas a los usuarios como sólo usuarios sin derechos administrativos y por otra parte dejas una cuenta (o varias) de administrador con accesos sin restricciones, el resultado sería prácticamente el mismo que en un sistema linux: cada vez que un usuario quisiera cambiar algo restringido, Windows pediría que introdujeras los datos de un administrador, incluyendo nombre de usuario y contraseña.

Quizás realmente el problema con el que estás dándote de frente es que tu idea, si bien no digo que no tenga su lógica, choca directamente con los principios de seguridad ideados por Microsoft para Windows.

PD: El hecho de que no puedas modificar archivos del núcleo de Windows ni como administrador no es tanto a que estén en uso si no a que requieren de otro tipo de usuario con mayores permisos que el administrador; en este caso es NT SERVICE\TrustedInstaller, el cual sólo puede ser invocado a través del equivalente a la cuenta de "root" en Windows: NT AUTHORITY\SYSTEM.
Buenas, yo os cuento mi experiencia, el pasado verano me afecto un virus, no se cual exactamente, me desaparecieron las dos cuentas de administrador que tenia, y todos los ficheros del escritorio, y bibliotecas, aunque lo que tenia en el c: no tenia nada importante, lo importante estaba en los otros discos.

Para mi sorpresa despues de entrar con modo seguro vi que solo habia afectado al disco ssd, el resto de discos estaban intactos. Por lo cual una vez formateado pude recuperar el disco ssd.

Yo con esto ya os comento que a estos virus se les pasa por el forro los permisos. Yo he cojido y he puesto todos mis datos de documentos en un hd externo, y al final borrare todo lo que pueda ser comprometido.

Yo he llegado a la conclusion que si tienes un virus de estos nuevos y te lo encripta todo sale mejor cambiar el disco ssd y comprar otro nuevo, ya que con el respaldo ya da igual.

Un saludo.
DeathLord escribió:Buenas, yo os cuento mi experiencia, el pasado verano me afecto un virus, no se cual exactamente, me desaparecieron las dos cuentas de administrador que tenia, y todos los ficheros del escritorio, y bibliotecas, aunque lo que tenia en el c: no tenia nada importante, lo importante estaba en los otros discos.

Para mi sorpresa despues de entrar con modo seguro vi que solo habia afectado al disco ssd, el resto de discos estaban intactos. Por lo cual una vez formateado pude recuperar el disco ssd.

Yo con esto ya os comento que a estos virus se les pasa por el forro los permisos. Yo he cojido y he puesto todos mis datos de documentos en un hd externo, y al final borrare todo lo que pueda ser comprometido.

Yo he llegado a la conclusion que si tienes un virus de estos nuevos y te lo encripta todo sale mejor cambiar el disco ssd y comprar otro nuevo, ya que con el respaldo ya da igual.

Un saludo.


Al virus no le dan igual los permisos. Solo infecta lo que puede grabar,

La pregunta es. ¿Que tipo de cuenta utilizas para acceder al equipo? Si es la de administrador, lo estas haciendo mal. Un administrador tiene accesso completo a todo, ya que si no puede acceder a un fichero, puede cambiar sus permisos (con excepciones).
El problema no es el tipo de cuenta de usuario, sino del usuario en sí.

Yo en mi trabajo tengo absolutamente a todos los usuarios con cunetas de usuario y compartida dos carpetas solas (de las que cuelgan varias mas), y la carpeta donde guardan documentos. No tienen acceso a nada más.

Yo administrador y ellos usuarios, pues bien, las veces que ha entrado un virus, han sido por ellos y no por mi, teniendo absolutamente el mismo software.

A lo que voy es que no puedes hacer nada a la ligera tengas o no cuenta de usuario, Pq el estropicio que lias es gordo.
@Jar-Jar

El usuario es un usuario, no tiene la culpa, xq simplemente no entiende nada. Es el admin q tiene q atarlos bien cortos para evitar problemas

Limitado no es suficiente, ademas de simplemente ponerlos como limitados, hay q configurar mas cosas, por ejemplo, entre otras cosas, desabilitar la ejecucion de cualquier ejecutable ajeno a lo estrictamente necesario

Hace un tiempo, alguien escribio un buen artiuclo sobre ello, lo mantengo en el bookmark

http://www.catonmat.net/blog/disallow-windows-programs-via-gpo/



El tema es que si los PCs estan ya funcionando, hay q ir haciendolos uno a uno los domingo por ejemplo, cuando nadie trabaja en ellos, suele ser algo coniaso

Pero una vez listos, te ahorras problemas. Al principio se quejaran q no pueden abrir ese calendario erotico les mandaron por email, pero es lo q hay, luego se acostumbran
@theelf

El usuario (nos guste o no) es el culpable cuando es incapaz de asumir y entender lo que tiene delante de la pantalla y de las directrices que les das.

Entiendo que tu ejerces un control más absoluto, me pondré a leer lo que indicas, parece buena opción, pero de momento, como los tengo atados me va bien, no tocan nada que no deban y su windows funciona perfecto...
@Jar-Jar

Yo siempre culpo al usuario, pero al usuario de casa. Si tienes un PC aprende a usarlo, si no lo sabes usar, jodete, por no aprender. Si no te gusta aprender, y te quejas, pues no tengas ordenador


Pero en el caso de oficinas, es diferente, la gente tiene un trabajo X que no se corresponde con la informatica, pero esta obligado a usar el PC

Si tengo un tipo que se dedica a reparar aires acondicionados, y tiene q reviisar el PC cada tanto por algun email o para revisar un documento, no pretendere q sepa de informatica. Sabra de aires acondicionados, y si mete la pata en el PC y abre un archivo q no devia, es cosa del informatico q no pase nada

Yo lo veo asi


Sobre la seguridad, tecnicamente con usuario limitado y permisos adecuados, todo tendria q ir bien. Pero como la malicia en este mundo llega un poco mas, pues desabilitar ejecucion de binarios, y tener los programas en un sandbox, hacen que todo valla mejor por ejemplo
@theelf

A mi me da igual dónde esté el usuario. Yo te cuento mi experiencia en la única infección por ramsomware que recibimos en el trabajo.

Según la afectada, estaba viendo una web y sé infectó (siempre su versión). Cuando yo me juego las pelotas que lo que recibió fué un correo y abrió el adjunto. No puedo impedir en que los usuarios chequeen sus correos privados en el trabajo, lo que si les pido es que si hay algo "extaño" es que no hagan nada, lean la pantalla y avisen.

Reconozco y lo he dicho aqui en el foro, es que nod32, informaba que estaba siendo atacado el equipo, pero no le di la importancia que debia cuando me lo decía ella, uno de tantos muchos ataques que marca el antivirus en alguna que otra web..... (eso fué a las 19:00) hasta las 20:30 horas el cryptowall 3.0 hizo lo que quiso, eso si, se "enteró" y por ende yo, de la infección al dia siguiente a las 13:00, cuando la infección era tremenda. Menos mal que sólo tenía acceso a la carpeta compartida (backup dos veces al dia) y la carpeta suya de datos (idem). Lo que me sirvió con ésto, es que de una puta vez, pese a repetirlo 1000 veces, es que los documentos los guarden en red, pues así hago la copia de ellos, en lugar de estar todo en los ordenadores en local...
17 respuestas