viernes, 23 de diciembre de 2016

Habilitar instantaneas en Windows despues de haberlas eliminado un virus

Últimamente están de moda los Cryptolockers han ido evolucionando y antes se podían restaurar los archivos cifrados recurriendo a una copia guardada como instantánea en ingles Shadow copy con programas como Shadowexplorer
De un tiempo a esta parte ya incluyen estas lineas los ramsonware en la que primeramente borran todo el contenido para deshabilitar las imagenes

vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Como volver a activar las instantáneas de nuevo en administración de equipos, botón derecho encima de carpetas compartidas y seleccionamos, Todas las tareas, Configurar instantáneas...

Vamos a poder habilitarlas de nuevo. De manera automática siempre intenta crear dos instantáneas por día, esa configuración por defecto nos vendrá bien aunque podremos cambiarla.


Proximamente, 
Muy bonito eso después de la infección restaurar todo para que haga las instantáneas, pero que podríamos hacer para que no vuelva a pasar que las deshabilite, se me ocurren varias opciones que explicare mas adelante, la mas fácil cambiar el nombre a vssadmin.exe y configurar todo para que funcione igual, otra proteger con permisos y directivas el uso de esta utilidad

¿Se te ocurre alguna mas?

Instalar antivirus en Windows Server Miscrosoft Security Essentials


 Microsoft Security Essentials no es de los peores Antivirus, es liviano y se lleva bien con el sistema operativo, instalar un Antivirus en un servidor es bastante caro, sino lo queremos dejar del todo desprotegido podemos instalarlo de la siguiente manera, ya que el no deja.

Descargalo de aqui
https://www.microsoft.com/es-es/download/details.aspx?id=5201

Copialo a C:

Ejecuta el siguiente comando en consola de sistema como administrador

mseinstall.exe /disableoslimit

Lo instalara y estara funcional

No borres el archivo mseinstall.exe de raiz C para cuando lo quieras desinstalar, que seria de la siguiente manera

mseinstall.exe /disableoslimit /u