cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
  • ×
    Información
    ¿Necesita ayuda con Windows 11?

    Vea información sobre compatibilidad, actualización y soluciones para problemas conocidos de HP y Microsoft, clicando aquí

    Información
    Corrija errores en Win 10

    Resuelva problemas de actualización de Windows 10 en un PC HP – Centro de soporte HP para Windows 10

  • post a message
  • ×
    Información
    ¿Necesita ayuda con Windows 11?

    Vea información sobre compatibilidad, actualización y soluciones para problemas conocidos de HP y Microsoft, clicando aquí

    Información
    Corrija errores en Win 10

    Resuelva problemas de actualización de Windows 10 en un PC HP – Centro de soporte HP para Windows 10

  • post a message
ArchivadoEste tema fue archivado. La información y enlaces disponibles en este mensaje pueden no ser relevantes o estar desactualizados. Si tienes dudas, por favor, haz clic aquí para crear un nuevo tema y selecciona la carpeta apropiada.
Estudiante honorario
Estudiante honorario
3 0 0
Mensaje 1 de 7
851
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

WINDOWS SERVER 2012 R2
Other

Buenas.

 

Tengo un equipo servidor HP DL320e con Windows Server 2012 r2, que es victima de secuerto de informacion, con un tipo de software encriptador, tipo ramsomware, cuya extencion es ".ziptox1".

 

PANTALLASO ESCRITORIO.jpgINFO SISTEMAS.jpg AVISO DE ENCRIPTACION.jpg

 

La ayuda que necesito es saber como puedo identificar en el visor de eventos de Windows, o en cualquier otra parte del sistema donde corresponda,  los eventos que evidencien el ataque cibernetico.

 

adicional a esto, toda la ayuda para recuperar los archivos encriptados, es de mucha utilidad

 

les agradesco toda la ayuda posible

 

Gracias

6 RESPUESTAS 6
Rector
Rector
5,510 661 3,593
Mensaje 2 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Talvez debes acuidir a una empresa de soporte de tu ciudad, si hubieran datos importantes allí. Es bien difícil darte ideas porque no sabemos qué logras accesar, si acaso enciende, si es completo o parcial, qué uso le dan al servidor, si tiene salida a internet o si le conectan usb (un servidor no debería usarse para navegar), quien tiene acceso, cuándo sucedió eso, etc.

¿Esta respuesta fue útil? Si No
Estudiante honorario
Autor
Estudiante honorario
3 0 0
Mensaje 3 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Gracias por el consejo.

Primeramente digo que el equipo estuvo conectado a la red por un largo tiempo, pero nadie accedía a los servicios instalados en él. (Tal vez durante dos años) y ahora que se quiere reactivar los servicios en él instalados, nos encontramos con la dificultad.
En segunda medida, yo tengo acceso al panel de control, al visor de eventos, a las opciones de hardware y software. Pero lo que me interesa es saber más de cuando pudo ocurrir este impace, y/o qué circunstancias favorecieron los hechos.

La información en si, aunque es importante, pasa a un segundo plano.

Necesito ayuda en saber leer los reportes de seguridad, cual o cuales pueden ser los indicadores que me guíen a definir los eventos sucedidos. Etc. etc.

Gracias.
¿Esta respuesta fue útil? Si No
Rector
Rector
5,510 661 3,593
Mensaje 4 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Si lees el Event Viewer ya es algo, revisa las alertas rojas y toma nota de sus mensaje y número de error, sigue la pista de cuando comenzó eso porque al saber la fecha puedes intentar regresar a un punto previo a eso.

¿Esta respuesta fue útil? Si No
Estudiante honorario
Autor
Estudiante honorario
3 0 0
Mensaje 5 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Gracias por la informacion, es de mucha ayuda.

 

Lo que dices, lo he estado haciendo.

 

si hay mas detalles que me puedan ayudar a especificar la busqueda sera de gran ayuda..

 

Gracias

Etiquetas (1)
¿Esta respuesta fue útil? Si No
Rector
Rector
5,510 661 3,593
Mensaje 6 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Visor de Eventos - Registros de Windows -

En Aplicación, Seguridad, Sistema etc los eventos están ordenados de nuevos a viejos, deslizas la barra y buscas los de color rojo, muchos son recurrentes. Desliza hasta que veas cuando comienzan a aparecer.

Vas a Panel de Control - sistema - Popiedades del sistema - Protección del sistema - Restaurar (eliges un punto previo, incluso podría ser de años anteriores) Esta restauración devuelve como estaba el sistema a esa fecha, los datos no cambian ni las carpetas salvo que contengan archivos exe).

¿Esta respuesta fue útil? Si No
Maestro
Maestro
74 3 28
Mensaje 7 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

La fecha de encriptación, la puedes sacar haciendo un listado de los archivos cifrados y a que hora empezaron, los buscas todos, con un *.locked, o como se llame la extensión.

Luego ordenas por fecha y pista.

 

Si es el unico servidor de la red, entonces sería alguien que lo manipuló.

Si tienes habilitado la auditoria de inicios de sesión como buen praxis.... sabrás quien. Aunque puede que la clave admin la tenga más de una persona....

 

 

Si se te infecto el servidor, por dentro, osea no solo lo compartido sino todas las carpetas, (bueno los archivos que ataque ese rasomware, no todos encritpan todo. Puede que algun pc hayan quedado guardadas las credenciales de administrador.

Es muy mala practica, permitir que el windows guarde las contraseñas.

 

https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

En esta dirección, podras ver un listado distintos tipos de crypto, y ver si hay remedio.

 

Y si es un ataque de generación tipo wannacry, que aprovecha vulnerabilidad de MS..... maaalo. Pero se supone que eso lo tienes parcheado.

 

Hay algun antimrasomware, que para servidores, viene muy bien, en el caso de que detecte una infección, o actividad rara. Apaga el servidor. tipo.

Abelssoft AntiRansomware 2017 17.17 Portable

 

Foros de virus y tal:

http://www.forospyware.com/

 

 

 

¿Esta respuesta fue útil? Si No
ArchivadoEste tema fue archivado. La información y enlaces disponibles en este mensaje pueden no ser relevantes o estar desactualizados. Si tienes dudas, por favor, haz clic aquí para crear un nuevo tema y selecciona la carpeta apropiada.
† Las opiniones expresadas arriba son opiniones personales del autor, no de HP. Al utilizar este sitio, aceptas los Términos de Uso y las Reglas de Participación