Historial de Archivo/Shadow Explorer vs Crypt0l0ker

En clase seguridad y alta disponibilidad hemos estado viendo ataques ransomware, concretamente con cript0l0ker.

Se llaman ataques ransomware porque en este ataque se malware que al infectar el ordenador cifra los archivos, comprometiendo la disponibilidad de la informacion,  y a cambio de revelar la clave para el descifrado piden un rescate (ransom) .

En este post nos vamos acentrar únicamente en describir una manera rápida y sencilla de recuperar la información cifrada en uno de estos ataque.  Sin embargo, se debe tener en cuenta que antes se tiene que desinfectar el ordenador (ww.elladodel mal.com).

Windows Microsoft Office incluyó en Windows 7 un sistema basado en Shadow Copy de Windows Server 2003 que permite recuperar información a través de instantáneas creadas en el tiempo, gracias a la habilitación de la protección del sistema de Windows. Este sistema fue sensiblemente mejorado en versiones posteriores: El Historial de Archivos. El Historial de Archivos permite recuperar individualmente versiones anteriores de archivos o directorios borrados o que hayan sido alterados y guardados (sobrescribiendo la versión previa) a través de una opción en el menú contextual llamada Restaurar versiones anteriores.

Este sería un sistema bastante simple a usar para recuperar la información cifrada en el caso de sufrir un ataque de este tipo. Se busca una versión anterior al ataque del archivo o archivos en cuestión y se restauran.

Sin embargo, ¿qué ocurre si el servicio esta desactivado o no funciona? Existe una herramienta permite el acceso a la ubicación en donde están guardados todos estos archivos y restaurarlos desde allí: Shadow Explorer.

Shadow Explorer es una herramienta que permite recuperar la copia de los archivos/directorios creada por el sistema operativo. Simplemente se selecciona la unidad, la fecha y se busca el directorio a examinar para recuperar dichos datos.

Para su instalación simplemente hay que descargar el instalador y, una vez instalado, el programa detectará automáticamente a cualquier versión guardada de cualquier archivo, permitiendo recuperarlos.

Eso sí, únicamente es para una emergencia, y no sustituye a un sistema de copia de seguridad.
INCIBE: RANSOMWARE IV: Métodos de infección, protección y recuperación.
welivesecurity: 11 formas de protegerte del ransomware, incluyendo Cryptolocker.

Anuncios
Tagged with: , ,
Publicado en Activa, Seguridad

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: