¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

  • añadir a favoritos
    Añadir a marcadores

Cuando “hay” un antivirus, pero en realidad no lo hay

Consultas: 687 Comentarios: 11 Ranking: 13

martes 25 de agosto de 2020

Hay un aforismo antiguo: “Si el policía supervisa a todos, ¿quién vigila a la policía?”. También puede aplicarse perfectamente al antivirus. Por ejemplo, aquí tenemos una solicitud bien preparada a nuestro soporte técnico:

Afectado el servidor netschool
Todos los archivos ahora están en formato id-36C0CA08.[rogstrix@keemail.me].harma

Es nuestro cliente y fácilmente averiguamos qué licencia tiene:

Datos sobre la licencia:
Número de serie: ххх
Cliente: institución de formación «ххххххх liceo»
Producto: Conjunto (Conjunto Dr.Web para colegios (Safe School))

….

Empezamos el trabajo:

Si el sistema afectado está activado y se sospecha que el funcionamiento del cifrador no se haya finalizado todavía, apague el PC lo más rápido posible; en cualquier caso, el PC debe ser aislado de la red común (porque el cifrado de los datos se realiza en todas las unidades locales, de red y extraíbles en las cuales el usuario que lo inició tiene permiso de escritura).

Luego, copie todos los datos importantes de la unidad del sistemas (sin iniciar el sistema infectado, al conectar el disco duro a otro PC o al arrancar a través LiveDisk) que no han sido afectados (también, se puede hacer una copia de seguridad de los datos cifrados importantes, en caso de errores de la unidad víctima), compruebe si se han guardado las instantáneas del sistema; si eso, y si es posible, haga una copia de la imagen del sistema, para recuperar los datos de las instantáneas.

Por favor, recopile el informe del equipo infectado con la utilidad dwsysinfo.exe…

No vamos a repetir nada más sobre la utilidad, ya hemos escrito de la misma varias veces, y vamos a analizar la primera parte de la respuesta. Lamentablemente, muchas personas no reaccionan correctamente a la detección de un programa malicioso y continúan trabajando con el equipo. Y es que todavía se puede intentar salvar una parte de los datos…

Al detectar el funcionamiento de un virus, enseguida apague el equipo, no espere que aparezca una demanda del rescate, lo cual dignificará que todo lo interesante para el malintencionado ya ha sido cifrado o robado.

Pero solo son recomendaciones, queríamos hablar de otra cosa. Así fue el resultado del análisis del incidente:

Es muy probable que se haya producido una entrada no autorizada en el sistema por rdp al hackear la contraseña de la cuenta. Eso se confirma con los mensajes que se guardan en el registro del sistema.

No había ningún antivirus.

Es decir, el cliente tenía la licencia, pero el antivirus no estaba instalado. No “estaba eliminado”, lo cual se notaría en los logs del funcionamiento del antivirus, sino no lo había.

Lamentablemente, a veces pasan cosas aún más tristes. La licencia comprada permanece inactivada y, por lo visto, debe asustar a los virus solo con su presencia. Y luego la gente dirá: teníamos un antivirus, pero se produjo una infección. Y es verdad, lo tenían, pero no estaba instalado.

Y no es un caso único. Las empresas reciben la licencia de sus supervisores y no la usan porque “no les dan miedo” los virus.

#antivirus #escaneo_antivirus #troyano #cifrador

El mundo de antivirus recomienda

No olvide supervisar lo que se produce en Su equipo. En caso de instalar un antivirus, compruebe de vez en cuando si está y si funciona. Porque Sus niños, por ejemplo, pueden haber desinstalado el sistema de protección para entrar en algún sitio web que no les permitía consultar el antivirus. A veces estas cosas pasan...

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios