INTERESANTE CONSIDERACION PARA EVITAR EL BORRADO DE LAS COPIAS DE SEGURIDAD DE FICHEROS CIFRADOS POR RANSOMWARES

Cada vez es mas usado por los ransomwares, el método de borrar las copias de los ficheros originales que son cifrados por ellos, para lo que muchos de estos ransomwares usan una instrucción que fastidia al usuario, al eliminar dichos ficheros que, de otra forma, podrían ser utilizados para restaurar los ficheros cifrados, a traves del SHADOW COPY / SHADOWEXPLORER

El borrado de los ficheros guardados por el VOLUME SHADOW COPY lo logran facilmente con la instrucción :

VSSADMIN DELETE SHADOWS /ALL /QUIET

Por lo que evitando que se pueda usar dicho fichero VSSADMIN.EXE, es posible evitar la pérdida de los ficheros “sombra” , si bien dicho fichero VSSADMIN tambien es usado para crear puntos de restauración, por lo cual se debe crear una tarea programada que emita un comando WMIC que realice dichos puntos de restauración.

Todo ello se detalla en el artículo editado al respecto por HARDMICRO del que ofrecemos enlace para los interesados al respecto:

http://hardmicro.net/es/art%C3%ADculos/174-deshabilitar-vssadmin-por-protecci%C3%B3n

Como se podrá ver hay otro escollo que es el renombrado del VSSADMIN.EXE, pero de ello también se trata en dicho artículo y se ofrece la solución.

Si bien ello es para usuarios avanzados, nos ha gustado la idea de poder evitar el borrado de los originales de los ficheros cifrados por cualquiera de los nuevos ransomwares, que alguna veces ni pagando pueden recuperarse, y si se puede evitar la fastidiosa pérdida de datos recurriendo a evitar el borrado de dichas copias “shadow”, mejor que mejor.

Lo indicamos en la seguridad que quien haya sufrido algun incidente con un ransomware, si puede evitar en el futuro dicha pérdida de datos, aplicando lo arriba indicado, tendrá interés en probarlo.

Esperando que les sea de utilidad, reciban saludos

ms, 7-2-2017