21-04-2021, 12:30 PM
Hola
Este mensaje sería mas adecuado en "cuestiones técnicas" mas que en "empezando con tu nas"
Antes de nada hay que saber como te ha entrado el "cifrador".
Cuentas que una de tus carpetas es la afectada. Doy por hecho que es una carpeta compartida (me corriges si no lo es).
Si esto es así, el equipo que está haciendo el cifrado NO es tu nas, es un equipo infectado que está accediendo a lo compartido por tu nas.
Hay que asegurarse de esto, ya que en el hipotético caso de recuperar tu nas al estado inicial, cuando la conectas a tu red de nuevo, ese equipo externo que la vuelve a liar.
Lo que hay que hacer es detener (apagar) y aislar de red a TODOS los equipos de tu red. Hay que mirar uno a uno para ver quien es el "contagiador"
Continuemos con la NAS.
Si la tienes aislada y con ip estática, has de conectarte con ella con cable de forma directa con un equipo que esté limpio y con ip del mismo rango.
La inicias y accedes a la nas por navegador.
Si tuvieses activadas las instantáneas, recuperas a una anterior.
Por eso es muy importante tener activadas las instantáneas, ayer mismo lo comentaba Adrián Groba de QNAP en una webminar.
Es nuestra primera protección frente a ramsonware.
Recomiendo hacer una automática poco antes del inicio de la jornada y mantener al menos las 5 últimas.
Si no las tuvieses activadas, has de recurrir a copias de seguridad que tendrás offline ( en un cajón y desconectadas ).
Una vez recuperada la nas, NO la vas a conectar a tu red hasta que no te asegures de que el resto de equipo NO tienen nada malo.
Si lo haces corres el peligro de que nuevamente el "infiltrado" en tu red te la vuelva a fastidiar.
Es muy raro que sea la nas la que inicie la infección. Ya que sus sistema no suele (y no debe) estar expuesto a internet.
Esto es superimportante, sólo hemos de dejar accesible a internet lo mínimo, necesario y siempre usando puerto seguros con ssl.
Una cosa que nos la suele liar es la activación de uPnp, que abre puertos de forma automática y no llevamos control de cuales son.
En general el ramsonware no se instala en los equipos a no ser que ejecutemos o accedamos a alguna web dañina, ha de infectar un equipo para poder hacerlo.
Tengo claro que en tu red la nas está para compartir datos, y es eso lo que ha sido afectado.
Ahora te toca revisar el resto de equipos de tu red para limpiarlos por si tuviesen en el arranque al ramsonware.
Este mensaje sería mas adecuado en "cuestiones técnicas" mas que en "empezando con tu nas"
Antes de nada hay que saber como te ha entrado el "cifrador".
Cuentas que una de tus carpetas es la afectada. Doy por hecho que es una carpeta compartida (me corriges si no lo es).
Si esto es así, el equipo que está haciendo el cifrado NO es tu nas, es un equipo infectado que está accediendo a lo compartido por tu nas.
Hay que asegurarse de esto, ya que en el hipotético caso de recuperar tu nas al estado inicial, cuando la conectas a tu red de nuevo, ese equipo externo que la vuelve a liar.
Lo que hay que hacer es detener (apagar) y aislar de red a TODOS los equipos de tu red. Hay que mirar uno a uno para ver quien es el "contagiador"
Continuemos con la NAS.
Si la tienes aislada y con ip estática, has de conectarte con ella con cable de forma directa con un equipo que esté limpio y con ip del mismo rango.
La inicias y accedes a la nas por navegador.
Si tuvieses activadas las instantáneas, recuperas a una anterior.
Por eso es muy importante tener activadas las instantáneas, ayer mismo lo comentaba Adrián Groba de QNAP en una webminar.
Es nuestra primera protección frente a ramsonware.
Recomiendo hacer una automática poco antes del inicio de la jornada y mantener al menos las 5 últimas.
Si no las tuvieses activadas, has de recurrir a copias de seguridad que tendrás offline ( en un cajón y desconectadas ).
Una vez recuperada la nas, NO la vas a conectar a tu red hasta que no te asegures de que el resto de equipo NO tienen nada malo.
Si lo haces corres el peligro de que nuevamente el "infiltrado" en tu red te la vuelva a fastidiar.
Es muy raro que sea la nas la que inicie la infección. Ya que sus sistema no suele (y no debe) estar expuesto a internet.
Esto es superimportante, sólo hemos de dejar accesible a internet lo mínimo, necesario y siempre usando puerto seguros con ssl.
Una cosa que nos la suele liar es la activación de uPnp, que abre puertos de forma automática y no llevamos control de cuales son.
En general el ramsonware no se instala en los equipos a no ser que ejecutemos o accedamos a alguna web dañina, ha de infectar un equipo para poder hacerlo.
Tengo claro que en tu red la nas está para compartir datos, y es eso lo que ha sido afectado.
Ahora te toca revisar el resto de equipos de tu red para limpiarlos por si tuviesen en el arranque al ramsonware.
Un saludo
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η