• Compra una licencia de Windows 10/11 (10€) u Office (18€) al mejor precio u Office al mejor precio. Entra en este post con las ofertas
  • ¡Bienvenid@! Recuerda que para comentar en el foro de El Chapuzas Informático necesitas registrar tu cuenta, tardarás menos de 2 minutos y te dará valiosa información además de ayudarte en lo que necesites o pasar un rato agradable con nosotros.

AYUDA! RANSOMWARE (Reconstruccion completa)

B

barky

Nuevo
Registrado
16 Ago 2018
Mensajes
15
Puntos
0
Buenas

He recibido un ataque a mi servidor con un ransomware y poseo una reconstruccion completa la cual debe estar intacta.

Ahora bien, para realizar ese respaldo de esta copia completa, puedo hacerla una vez realice una instalacion limpia del server 2012rc2? y luego ejecutarla? o existe alguna manera diferente?
 
Depende que tipo de copia de seguridad tengas y con que programa la hayas hecho , las 100% completas que son copias espejo tambien llevan el sistema operativo asi que te instala todo.
 
tasadarf dijo:
Depende que tipo de copia de seguridad tengas y con que programa la hayas hecho , las 100% completas que son copias espejo tambien llevan el sistema operativo asi que te instala todo.
Hacer clic para expandir...

Primero, muchas gracias por tu rápida respuesta.

La copia es con el propio software de windows server 2012RC de copias de seguridad donde se realizaba un reconstruccion completa del disco principal así como de los backcups de los programas.

Ahora bien, como debo ejecturar esta copia? primero una instalacion limpia de 2012, instalar el rol de copias de seguridad y una vez hecho esto puedo recuperarla? estoy algo perdido y te agradecería muchisimo la ayuda.
 
barky dijo:
Primero, muchas gracias por tu rápida respuesta.

La copia es con el propio software de windows server 2012RC de copias de seguridad donde se realizaba un reconstruccion completa del disco principal así como de los backcups de los programas.

Ahora bien, como debo ejecturar esta copia? primero una instalacion limpia de 2012, instalar el rol de copias de seguridad y una vez hecho esto puedo recuperarla? estoy algo perdido y te agradecería muchisimo la ayuda.
Hacer clic para expandir...

No estoy familiarizado con el programa propio de windows server pero parece que solo hace falta instalacion de windows server activando la caracteristica server backup y lo del rol de copias de seguridad aqui hay un tutorial bastante majo que lo puedes echar un vistazo.
Hacer respaldo y recuperar sistema Windows Server 2012 R2 | TechWorld
 
Vaya hombre, he estado fuera el fin de semana y no he leido este mensaje.

No se si lo has hecho ya o no, pero básicamente es tal y como dices, tras reinstalar el server podrás acceder directamente a esta copia y recuperar los datos respaldados. Si no me equivoco, esta copia debería ser un único archivo que de hecho creo que deberias poder incluso "abrirlo" directamente y te debería salir el asistente de copias para recuperar los datos
 
tasadarf dijo:
No estoy familiarizado con el programa propio de windows server pero parece que solo hace falta instalacion de windows server activando la caracteristica server backup y lo del rol de copias de seguridad aqui hay un tutorial bastante majo que lo puedes echar un vistazo.
Hacer respaldo y recuperar sistema Windows Server 2012 R2 | TechWorld
Hacer clic para expandir...


He realizado al pie de la letra el tutorial.. pero sin resultado.

Instalación limpia de WSERVER -> INSTALO el rol de copias de seguridad....> luego selecciono la opción "recuperar sistema" .. "en modo seguro" selecciono la copia completa "reconstrucción completa"... finaliza tras varios reinicios.. y cuando va a iniciar la sesión se queda completamente negro.. sin poder hacer reparación desde USB.. ni nada.

Ahora he vuelto a formatear y voy a intentarlo nuevamente sin marcar la opción de active directory.
 
armadval dijo:
Vaya hombre, he estado fuera el fin de semana y no he leido este mensaje.

No se si lo has hecho ya o no, pero básicamente es tal y como dices, tras reinstalar el server podrás acceder directamente a esta copia y recuperar los datos respaldados. Si no me equivoco, esta copia debería ser un único archivo que de hecho creo que deberias poder incluso "abrirlo" directamente y te debería salir el asistente de copias para recuperar los datos
Hacer clic para expandir...

Cuando selecciono la copia de seguridad me aparece estas opciones :

Pasteboard - Uploaded Image


en la opción de volumenes me dice esto :

Pasteboard - Uploaded Image


esta es la opción de sistema que he seleccionado según el tutorial.. pero claro necesito restablecer la reconstrucción completa "usuarios...apps..etc" y no me queda bien claro que realmente sea esta.

Pasteboard - Uploaded Image

IYhIHs6.jpg
 
Entonces tendrás que entrar en modo recuperacion con el CD de instalacion y restaurar la copia del sistema tal y como te está indicando en la 2º foto.

De todas formas, hacer backups completos del SO con el propio sistema de copias de seguridad de windows es... peligroso

En cualquier caso, vete haciendote a la idea de que es posible que necesites reconfigurar algunas cosas a mano
 
armadval dijo:
Entonces tendrás que entrar en modo recuperacion con el CD de instalacion y restaurar la copia del sistema tal y como te está indicando en la 2º foto.

De todas formas, hacer backups completos del SO con el propio sistema de copias de seguridad de windows es... peligroso

En cualquier caso, vete haciendote a la idea de que es posible que necesites reconfigurar algunas cosas a mano
Hacer clic para expandir...

Exactamente, he visto esta guía. Copia de Seguridad (“Backup”) – Recuperacion Completa de un Controlador de Dominio | WindowServer

Pero ahora bien.. cuando llego al paso de seleccionar la imagen desde el recuperador desde la instalación. Pasteboard - Uploaded Image

No encuentra el HDD donde esta ubicado... puesto que las unidades que se utilizan para hacer las copias de windows son invisibles.. sin embargo al buscar la informacion para recuperar desde el software de backups de windows si reconoce la unidad.

Existe la manera de ver el contenido de ese disco duro de alguna manera... para pasarla a otro HDD externo en formato .vhdx y de este modo poder hacer el paso de la recuperación completa?
 
Échale un ojo a esto (sacado de este enlace):

Código: 
1) Check the hard disk size of your Windows disk as shown in Diskmgmt.msc. The Recovery Boot disk size should be of greater or equal than the Backup time boot disk.
E.g.: If Windows (Boot) disk is 150 GB during backup then the recovery boot disk should be greater or equal to 150 GB.

2) The WindowsImageBackup folder is in the root of the drive. E.g.: D:\WindowsImageBackup and not D:\Myfolder\WindowsImageBackup.

3) All the files are intact inside WindowsImageBackup folder. User is not expected to change the files/folders inside this directory.

4) In Windows Recovery environment, Open command prompt.
5) Diskpart.exe
6) List volume. Identify the drive: that contains your backup.
7) Run: wbadmin get versions -backuptarget:<drive:>
8) Does it show: Can recovery: Bare Metal Recovery. If Bare Metal Recovery is shown then your backup is recoverable by Complete PC Restore. If not then all the critical volumes are not backed up correctly.
9) If BMR is shown, please try recovery from Cmd prompt:
wbadmin start sysrecovery -recreatedisks -restoreallvolumes -version:<backup-version-id> -backuptarget:<backup-drive:> -execludedisks:<DiskID-to-be-excluded>


9) To take another backup that supports BMR, boot back into Online OS and trigger the following
- wbadmin start backup -allcritical -backuptarget:<backup-drive:>. It will list all the critical volumes
OR
Complete PC Backup.

Si tienes algun problema con algun paso que no entiendas avisame y trato de explicartelo más a fondo
 
armadval dijo:
Échale un ojo a esto (sacado de este enlace):

Código: 
1) Check the hard disk size of your Windows disk as shown in Diskmgmt.msc. The Recovery Boot disk size should be of greater or equal than the Backup time boot disk.
E.g.: If Windows (Boot) disk is 150 GB during backup then the recovery boot disk should be greater or equal to 150 GB.

2) The WindowsImageBackup folder is in the root of the drive. E.g.: D:\WindowsImageBackup and not D:\Myfolder\WindowsImageBackup.

3) All the files are intact inside WindowsImageBackup folder. User is not expected to change the files/folders inside this directory.

4) In Windows Recovery environment, Open command prompt.
5) Diskpart.exe
6) List volume. Identify the drive: that contains your backup.
7) Run: wbadmin get versions -backuptarget:<drive:>
8) Does it show: Can recovery: Bare Metal Recovery. If Bare Metal Recovery is shown then your backup is recoverable by Complete PC Restore. If not then all the critical volumes are not backed up correctly.
9) If BMR is shown, please try recovery from Cmd prompt:
wbadmin start sysrecovery -recreatedisks -restoreallvolumes -version:<backup-version-id> -backuptarget:<backup-drive:> -execludedisks:<DiskID-to-be-excluded>


9) To take another backup that supports BMR, boot back into Online OS and trigger the following
- wbadmin start backup -allcritical -backuptarget:<backup-drive:>. It will list all the critical volumes
OR
Complete PC Backup.

Si tienes algun problema con algun paso que no entiendas avisame y trato de explicartelo más a fondo
Hacer clic para expandir...


Muchísimas gracias,

Finalmente he podido restaurar por completo con el instalador desde un USB ( importante ejecutarlo sin uefi) ya que me aparecía un error de firmware diferentes.

No sabes la alegría de poder montar todo en menos de una hora.... Ufff.

Ahora bien voy hablar seriamente con BitDefender ya que se contrató un paquete especial ante ransomware.

Gracias
 
Me alegro que hayas podido recuperarlo todo. Los ramsonwares son el pan nuestro de cada día de los informáticos, no tienes ni idea de la cantidad de ellos con los que he tenido que lidiar.

De todas formas, tal y como te dije antes, deberíais valorar algun tipo de copia algo más robusta que la de Windows, que no es mala, pero es bastante engorrosa de restaurar. Nosotros desde hace ya varios años nunca montamos servidores "a pelo", si no que montamos máquinas virtuales corriendo sobre vmware esxi, ya que puedes hacer instantáneas de las máquinas virtuales y en caso de error catastrófico solo tienes que recuperar el estado de la MV del momento de la copia, lo cual lleva muy poco tiempo.

Respecto a lo de los paquetes especiales de los AV, "suelen" funcionar bastante bien, pero el problema de los ramsonwares es que, al igual que muchos otros virus, varian mucho. Lo mejor es que tengais los permisos de los usuarios bien definidos para que si entra un cryptovirus no te reviente el sistema, que los usuarios no sean administradores, evitar accesos RDP al servidor y todo ese tipo de cosas

Saludos!
 
armadval dijo:
Me alegro que hayas podido recuperarlo todo. Los ramsonwares son el pan nuestro de cada día de los informáticos, no tienes ni idea de la cantidad de ellos con los que he tenido que lidiar.

De todas formas, tal y como te dije antes, deberíais valorar algun tipo de copia algo más robusta que la de Windows, que no es mala, pero es bastante engorrosa de restaurar. Nosotros desde hace ya varios años nunca montamos servidores "a pelo", si no que montamos máquinas virtuales corriendo sobre vmware esxi, ya que puedes hacer instantáneas de las máquinas virtuales y en caso de error catastrófico solo tienes que recuperar el estado de la MV del momento de la copia, lo cual lleva muy poco tiempo.

Respecto a lo de los paquetes especiales de los AV, "suelen" funcionar bastante bien, pero el problema de los ramsonwares es que, al igual que muchos otros virus, varian mucho. Lo mejor es que tengais los permisos de los usuarios bien definidos para que si entra un cryptovirus no te reviente el sistema, que los usuarios no sean administradores, evitar accesos RDP al servidor y todo ese tipo de cosas

Saludos!
Hacer clic para expandir...


Muchas gracias.. si, la verdad es que cuando llegué a esta empresa estaba ya montado así por alguna empresa externa que no dejó nada documentado.

En su día también lo hacia de esa manera que comentas con maquinas virtuales y la verdad que es muy practico y rápido, pero llevo años un poco fuera del tema.

Me recomiendas en concreto el vmware esxi montado desde un windows 10 pro por ejemplo?

Por otro lado es inevitable que los usuarios no tengan servicio RDP ya que la gran mayoría conectan por este método al estar físicamente en otro lugar, alguna recomendación?

El famoso usuario INVITADO, si no recuerdo mal era un fallo de seguridad como entrada de virus también, cierto?

Muchas gracias nuevamente, no todos los días se encuentra alguien que quiera ayudar.
 
ESXI es un SO en si mismo, lo "ideal" sería que lo instalases en un servidor formateado, pero es algo que tienes que ver con calma, no se monta en 2 horas y tiene bastante chicha

No entiendo a que te refieres en tu 4º linea (Por otro lado es inevitable que los usuarios no tengan servicio RDP ya que la gran mayoría conectan por este método al estar físicamente en otro lugar, alguna recomendación?), podrías desarrollarlo de alguna otra forma?

Para serte sincero, nunca he visto que alguno de los ataques que hayan recibido alguno de nuestros clientes hayan sido causados por el usuario "invitado". Si no lo usas, deshabilitarlo no es mala idea, pero nunca nunca he visto un ataque enfocado sobre ese usuario
 
armadval dijo:
ESXI es un SO en si mismo, lo "ideal" sería que lo instalases en un servidor formateado, pero es algo que tienes que ver con calma, no se monta en 2 horas y tiene bastante chicha

No entiendo a que te refieres en tu 4º linea (Por otro lado es inevitable que los usuarios no tengan servicio RDP ya que la gran mayoría conectan por este método al estar físicamente en otro lugar, alguna recomendación?), podrías desarrollarlo de alguna otra forma?

Para serte sincero, nunca he visto que alguno de los ataques que hayan recibido alguno de nuestros clientes hayan sido causados por el usuario "invitado". Si no lo usas, deshabilitarlo no es mala idea, pero nunca nunca he visto un ataque enfocado sobre ese usuario
Hacer clic para expandir...


En nuestro caso son unos 6 equipos que conectan de manera remota y me gustaría que tuvieran los permisos "justos" para trabajar.
Cuales de los grupos existentes en el active directory son los necesarios para que no tengan problemas a la hora de ejecutar y trabajar con normalidad?

Actualmente trabajo con bitdefender zone gravity y 360protection en todos los pc's.

Por otro lado voy hablar con Movistar para que me cambien la ip fija que tenemos por si estuviera en un listado de ransomware.
 
No hace falta que cambies la IP, aunque lo hagas, si te han atacado por RDP te volverán a atacar con la nueva IP por mucho que la cambies, es inevitable

Los usuarios de un RDP deberian ser unicamente "usuarios de dominio" y "usuarios de escritorio remoto", nada más, ni administradores de la máquina en la que están y mucho menos administradores de dominio. Si acceden por RDP, otra cosa que deberías exigirles si o si es que tengan contraseñas robustas, y no ceder ni permitirles poner contraseñas simples, ya que tarde o temprano puede sucederos que os ataquen el RDP y vuelvan a joderos. Mantener el servidor de terminales actualizado para que no usen exploits y se puedan dar permisos para ejecutar cosas con permisos elevados (de esos tengo ya unos cuantos que se han dejado copiados en los servidores que nos tienen infectado).

De todas formas, a día de hoy, yo me plantearía buscar una alternativa más segura para conectarse al servidor sin ser por RDP son más. Usais escritorio remoto de Windows?
 
Hay que estar conectado o registrado para responder aquí.
Arriba