cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
ArchivadoEste tema fue archivado. La información y enlaces disponibles en este mensaje pueden no ser relevantes o estar desactualizados. Si tienes dudas, por favor, haz clic aquí para crear un nuevo tema y selecciona la carpeta apropiada.
Estudiante honorario
Estudiante honorario
3 0 0
Mensaje 1 de 7
525
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

WINDOWS SERVER 2012 R2
Other

Buenas.

 

Tengo un equipo servidor HP DL320e con Windows Server 2012 r2, que es victima de secuerto de informacion, con un tipo de software encriptador, tipo ramsomware, cuya extencion es ".ziptox1".

 

PANTALLASO ESCRITORIO.jpgINFO SISTEMAS.jpg AVISO DE ENCRIPTACION.jpg

 

La ayuda que necesito es saber como puedo identificar en el visor de eventos de Windows, o en cualquier otra parte del sistema donde corresponda,  los eventos que evidencien el ataque cibernetico.

 

adicional a esto, toda la ayuda para recuperar los archivos encriptados, es de mucha utilidad

 

les agradesco toda la ayuda posible

 

Gracias

6 RESPUESTAS 6
Rector
Rector
9,438 654 3,567
Mensaje 2 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Talvez debes acuidir a una empresa de soporte de tu ciudad, si hubieran datos importantes allí. Es bien difícil darte ideas porque no sabemos qué logras accesar, si acaso enciende, si es completo o parcial, qué uso le dan al servidor, si tiene salida a internet o si le conectan usb (un servidor no debería usarse para navegar), quien tiene acceso, cuándo sucedió eso, etc.

Estudiante honorario
Autor
Estudiante honorario
3 0 0
Mensaje 3 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Gracias por el consejo.

Primeramente digo que el equipo estuvo conectado a la red por un largo tiempo, pero nadie accedía a los servicios instalados en él. (Tal vez durante dos años) y ahora que se quiere reactivar los servicios en él instalados, nos encontramos con la dificultad.
En segunda medida, yo tengo acceso al panel de control, al visor de eventos, a las opciones de hardware y software. Pero lo que me interesa es saber más de cuando pudo ocurrir este impace, y/o qué circunstancias favorecieron los hechos.

La información en si, aunque es importante, pasa a un segundo plano.

Necesito ayuda en saber leer los reportes de seguridad, cual o cuales pueden ser los indicadores que me guíen a definir los eventos sucedidos. Etc. etc.

Gracias.
0 kudos
Rector
Rector
9,438 654 3,567
Mensaje 4 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Si lees el Event Viewer ya es algo, revisa las alertas rojas y toma nota de sus mensaje y número de error, sigue la pista de cuando comenzó eso porque al saber la fecha puedes intentar regresar a un punto previo a eso.

Estudiante honorario
Autor
Estudiante honorario
3 0 0
Mensaje 5 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Gracias por la informacion, es de mucha ayuda.

 

Lo que dices, lo he estado haciendo.

 

si hay mas detalles que me puedan ayudar a especificar la busqueda sera de gran ayuda..

 

Gracias

0 kudos
Etiquetas (1)
Rector
Rector
9,438 654 3,567
Mensaje 6 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

Visor de Eventos - Registros de Windows -

En Aplicación, Seguridad, Sistema etc los eventos están ordenados de nuevos a viejos, deslizas la barra y buscas los de color rojo, muchos son recurrentes. Desliza hasta que veas cuando comienzan a aparecer.

Vas a Panel de Control - sistema - Popiedades del sistema - Protección del sistema - Restaurar (eliges un punto previo, incluso podría ser de años anteriores) Esta restauración devuelve como estaba el sistema a esa fecha, los datos no cambian ni las carpetas salvo que contengan archivos exe).

Maestro
Maestro
178 3 27
Mensaje 7 de 7
Reportar Mensaje

Ayuda con Servidor encriptado con .ziptox1

La fecha de encriptación, la puedes sacar haciendo un listado de los archivos cifrados y a que hora empezaron, los buscas todos, con un *.locked, o como se llame la extensión.

Luego ordenas por fecha y pista.

 

Si es el unico servidor de la red, entonces sería alguien que lo manipuló.

Si tienes habilitado la auditoria de inicios de sesión como buen praxis.... sabrás quien. Aunque puede que la clave admin la tenga más de una persona....

 

 

Si se te infecto el servidor, por dentro, osea no solo lo compartido sino todas las carpetas, (bueno los archivos que ataque ese rasomware, no todos encritpan todo. Puede que algun pc hayan quedado guardadas las credenciales de administrador.

Es muy mala practica, permitir que el windows guarde las contraseñas.

 

https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

En esta dirección, podras ver un listado distintos tipos de crypto, y ver si hay remedio.

 

Y si es un ataque de generación tipo wannacry, que aprovecha vulnerabilidad de MS..... maaalo. Pero se supone que eso lo tienes parcheado.

 

Hay algun antimrasomware, que para servidores, viene muy bien, en el caso de que detecte una infección, o actividad rara. Apaga el servidor. tipo.

Abelssoft AntiRansomware 2017 17.17 Portable

 

Foros de virus y tal:

http://www.forospyware.com/

 

 

 

0 kudos
ArchivadoEste tema fue archivado. La información y enlaces disponibles en este mensaje pueden no ser relevantes o estar desactualizados. Si tienes dudas, por favor, haz clic aquí para crear un nuevo tema y selecciona la carpeta apropiada.
† Las opiniones expresadas arriba son opiniones personales del autor, no de HP. Al utilizar este sitio, aceptas los Términos de Uso y las Reglas de Participación