#750 el código ha de ser ejecutado sí o sí. Pero a muy malas puedes dar acceso a internet a la VM y descargarlo desde ahí
edit: además, cuando bajas un malware desde una sandbox, éste suele venir renombrado con una extensión .vir (o sin extensión) y a veces en zip con password para evitar que lo ejecutes sin querer.
#751 para que el Ransomware funcione no tiene que estar el equipo o la vm conectada a la red también? No sé pegaba contra un servidor para coger la key y demás?
Vuelvo a repetir, soy nulo en este tema.
#752 depende del ransomware, pero lo habitual es que no. voy a explicarlo brevemente:
Cuando el ransomware es ejecutado el un PC...
Como se desencripta tras pagar?
Por eso, a veces ocurre que algunos ransomwares se les puede sacar el private.key de la memoria si todavía no han terminado su encriptación o si no se ha reiniciado el PC. Pero la llave maestra (private.pem) jamás se encuentra a no ser que el propio grupo de hackers libere las keys tras X tiempo.
Edit: si el private.pem estuviese en un server, simplemente debuggando el ransomware y viendo la URL del servidor... se podría recuperar ese fichero y joder al ransomware.
#742 Han solicitado un certificado previo indicando (con pruebas) que se habían actualizado las herramientas y cosas necesarias en cada uno de los equipos para prevenir el problema (no voy a dar detalles) antes de dejarnos conectar de nuevo a las redes de cliente y ninguno de mis compañeros ha tenido problemas de carpetas o archivos encriptados. Todo estaba en la nube de microsoft y ahí sigue intacto.
#755 usáis onedrive + sharepoint en everis? de ser así cualquier fichero infectado lo recuperan desde microsoft enviando un ticket.
#756 Sí. Hace ya un tiempo que se migró todo a office 365 con onedrive y sharepoint. Otra cosa es que alguno no haya sido listo y siguiese guardando cosas en local, que seguro que los hay. En nuestro caso ya digo que somos un equipo grande y ninguno ha tenido problemas. Hace tiempo que por norma exigimos que todos los documentos se guarden en sharepoint o en onedrive a todos nuestros compañeros.
A mi me encanta la gente que guarda archivos importantes en local y a la vez te llena unidades compartidas o mierdas como pst de 30 gigas.
#758 Yo odio a la gente que llena las unidades de red de carpetas con subcarpetas y millones de subcarpetas más. Superando los 256 caracteres en el path y haciendo que las aplicaciones peten al intentar leer o cargar semejantes rutas.
Que es PST? pk power point no es no? xD
#760 Nosotros usamos BIM360 un cloud de Autodesk, pues tuvimos que cambiar nombres de carpetas teniamos por ejemplo 400.20.Civil y quitar los puntos pk estos genios hacian que los puntos ocupasen 3 caracteres y nos petaban las rutas j3 , nos hemos pasado a google drive mil veces mas rapido y sincronica al instante
#761 Las carpetas de almacenamiento personal que genera Outlook cuando agregas cuentas de correo. Una de las cosas más malvadas que ha creado la humanidad.
#767 Alguno ha llegado a borrar archivos de la papelera de segundo nivel (ya hay que ser cafre) y al decirle que va a perder el trabajo de un día te la lía.
Le explicas que haga copia de esos archivos que no quiere perder y aun así te ponen pegas.
Como siempre digo... A mi me funciona y yo no he perdido datos. También flipas con la dejadez de la gente en casos de pérdida de datos, es como si no les corriera prisa y después vienen los lloros.
Les dices que todo eso está en la documentación oficial y ya petan del todo.
#769 Estamos hablando de un ataque que ha dejado KO alguna que otra oficina, dudo mucho que alguno se rebote por perder un día de trabajo, si no es menos.
#771 Ya, pero les dices que es lo que hay y a otra cosa. Que si quiere explicaciones que hable con tu responsable.
Es genial porque todo el mundo va como the best IT advisor in the world y todo el mundo sabe que habría que haber hecho y que no, pero luego en el puesto de trabajo son a los primeros a los que les sueltan collejas, true history bro
#743 el servidor que hace los backups no te importa realmente. si se necesita se monta uno nuevo. Mientras tengas acceso a los backups, podrás recuperarlo con el servidor de backup antiguo o con uno nuevo que te montes.
Normalmente los backups se hacen en dispositivos que no se verían afectados por el virus (arquitecturas linux) e incluso a cintas magnéticas.
yo trabajé en un caso de un hospital chino afectado por un ransonware y tenían los backups directamente en otros servidores windows, así que los propios backups estaban encriptados también... no sé cómo acabó el tema, pero me imagino que no muy bien
#773 No es eso tampoco, pero aunque no haya tenido nada que ver... es inaceptable tener servidores sin actualizar y con el RDP expuesto a pelo (con puerto por defecto) a internet. Y eso lo hemos visto todos a raíz del incidente.
Nadie va a criticar la ejecución de un phising. Eso le puede ocurrir a cualquiera. Pero cosas básicas como tener a los usuarios en cuentas sin admin-local es algo que se critica y se va a criticar siempre.
#775 Yo lo de las cuentas de local admin siempre lo criticaré y en mi empresa está al orden del día. Pero desde el departamente sudan completamente. Lo primero que hacen nada más entrar en la empresa es darte un portátil y configurarte el local admin para que no les des por culo con los programas que quieras instalarte, cosa que también es incorrecta a tope xd
#775 NINGUNA empresa esta exenta de estos males, adolecen en cualquier empresa de este sector, el problema es que cuando te sacan las vergüenzas en situaciones de esta magnitud, se te ven las carencias. Es lamentable que tengan que ocurrir sucesos como estos para que se tomen cartas en el asunto pero aun asi la gente no va a aprender, va en la naturaleza del ser humano quebrantar las reglas y la gente seguirá haciendo lo que le salga de la cola
Por cierto, el admin local en todo mi proyecto ni en el resto de proyectos de nuestra rama como dije, no tiene admin nadie. Solo 2 tenemos ese control, yo porque virtualice en su dia el portátil que me dieron y lo tengo en el mac y mi colega que viene de otro proyecto y tenia ciertos privilegios. Salvo eso, todos los demas son usuarios comunes y silvestres, pero lo que tambien dije es que generalizar esta muy bien pero en empresas de tamaño grande, no aplica en todo el % de gente
#774 #745 la movida y por la cual pregunto es que en mi empresa tenemos una maquina fisica para los backups con un storage array y veeam instalado , hacemos un backup de todo el Vcenter entero y luego algunos dump files y luego eso va a cintas, pero claro... ahora yo me pregunto si nuestro servidor físico se va a la mierda o es infectado... desde donde restauramos los backups?
Le acabo de hacer la pregunta de que creo que no estamos realizando un backup de la base de datos SQL de veeam al consultor externo que supuestamente nos lleva todo esto y la respuesta ha sido un poco .... "indeed... we should..." me quiero pegar un tiro..
#778 Estoy en medio del diseño de una arquitectura completa de backup para un cliente, si necesitas ayuda dime porque ademas la estamos basando en Veeam 
Fdo. Best IT advisory in the world
#777 eeeh? no!
Ninguna empresa debería tener un RDP expuesto a internet. Pero es que encima estamos hablando de Everis, no de una pyme de barrio que vende persianas por internet con un prestashop. No hay excusa alguna ante ese hecho. Cualquier cliente con 2 dedos de frente debería dejar de trabajar con una empresa que comete un error de esa magnitud.
Y no estoy criticando el que un usuario se como un phising.
Por otra parte es una irresponsabilidad para el sector no publicar ICOs ante un ataque de esa magnitud. Everis está llevando y gestionando el incidente de la forma más egoísta y peligrosa que se podía imaginar. Y no estoy generalizando con sus trabajadores, si no con la dirección y gestión con todo este tema.
