22/3/18

Evitar que los ransomware eliminen las versiones anteriores.

Sin importar cuantos métodos de backup tengamos configurados en un servidor Windows, las versiones anteriores son la primera herramienta a la que acudimos cuando requerimos recuperar archivos, esto debido a su eficiencia, rapidez y facilidad de uso. Los creadores de ransomware lo saben y por esto si el malware logra obtener privilegios de administrador lo primero que hace es ejecutar el siguiente comando de powershell, con el cual eliminan todas las instantáneas existentes.

vssadmin delete shadows /all

Por suerte prevenir esto es realmente simple. El comando anterior lo que hace es invocar la aplicación externa "vssadmin.exe" ubicada en "C:\Windows\System32" y para inhabilitar la función del comando basta con seguir los pasos descritos a continuación:

Navegamos hasta la ruta C:\Windows\System32, ubicamos el archivo vssadmin.exe, hacemos clic derecho / propiedades / seguridad / opciones avanzadas y cambiamos el propietario de "TrustedInstaller" (usuario de servicio de Windows) a nuestro usuario administrador.


Una vez tomada la propiedad, volvemos a hacer clic derecho / propiedades sobre vssadmin.exe, vamos a la pestaña seguridad, pulsamos editar y tomamos control total del archivo.


Hecho esto podemos cambiarle el nombre a vssadmin.exe, por cualquier otro.

De este modo todo comando que invoque a vssadmin fallará ya que no encontrará al archivo especifico, con lo cual ante un ataque de ransomware las instantáneas quedaran intactas.

clic en la imagen para agrandar.
Las versiones anteriores continuarán funcionando solo que perderemos la posibilidad de administrarlas vía powershell a menos que revirtamos todos los pasos antes descritos.

Para más protección contra ransomware te invito a leer el articulo:

No hay comentarios :

Publicar un comentario