viernes, 23 de diciembre de 2016

Habilitar instantaneas en Windows despues de haberlas eliminado un virus

Últimamente están de moda los Cryptolockers han ido evolucionando y antes se podían restaurar los archivos cifrados recurriendo a una copia guardada como instantánea en ingles Shadow copy con programas como Shadowexplorer
De un tiempo a esta parte ya incluyen estas lineas los ramsonware en la que primeramente borran todo el contenido para deshabilitar las imagenes

vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Como volver a activar las instantáneas de nuevo en administración de equipos, botón derecho encima de carpetas compartidas y seleccionamos, Todas las tareas, Configurar instantáneas...

Vamos a poder habilitarlas de nuevo. De manera automática siempre intenta crear dos instantáneas por día, esa configuración por defecto nos vendrá bien aunque podremos cambiarla.


Proximamente, 
Muy bonito eso después de la infección restaurar todo para que haga las instantáneas, pero que podríamos hacer para que no vuelva a pasar que las deshabilite, se me ocurren varias opciones que explicare mas adelante, la mas fácil cambiar el nombre a vssadmin.exe y configurar todo para que funcione igual, otra proteger con permisos y directivas el uso de esta utilidad

¿Se te ocurre alguna mas?

No hay comentarios:

Publicar un comentario en la entrada

Según la ley de Ohm, la intensidad de la corriente es igual al voltaje dividido por la resistencia que oponen los cuerpos.