Cuando “hay” un antivirus, pero en realidad no lo hay
martes, 25 de agosto de 2020
Hay un aforismo antiguo: “Si el policía supervisa a todos, ¿quién vigila a la policía?”. También puede aplicarse perfectamente al antivirus. Por ejemplo, aquí tenemos una solicitud bien preparada a nuestro soporte técnico:
Afectado el servidor netschool
Todos los archivos ahora están en formato id-36C0CA08.[rogstrix@keemail.me].harma
Es nuestro cliente y fácilmente averiguamos qué licencia tiene:
Datos sobre la licencia:
Número de serie: ххх
Cliente: institución de formación «ххххххх liceo»
Producto: Conjunto (Conjunto Dr.Web para colegios (Safe School))
….
Empezamos el trabajo:
Si el sistema afectado está activado y se sospecha que el funcionamiento del cifrador no se haya finalizado todavía, apague el PC lo más rápido posible; en cualquier caso, el PC debe ser aislado de la red común (porque el cifrado de los datos se realiza en todas las unidades locales, de red y extraíbles en las cuales el usuario que lo inició tiene permiso de escritura).
Luego, copie todos los datos importantes de la unidad del sistemas (sin iniciar el sistema infectado, al conectar el disco duro a otro PC o al arrancar a través LiveDisk) que no han sido afectados (también, se puede hacer una copia de seguridad de los datos cifrados importantes, en caso de errores de la unidad víctima), compruebe si se han guardado las instantáneas del sistema; si eso, y si es posible, haga una copia de la imagen del sistema, para recuperar los datos de las instantáneas.
Por favor, recopile el informe del equipo infectado con la utilidad dwsysinfo.exe…
No vamos a repetir nada más sobre la utilidad, ya hemos escrito de la misma varias veces, y vamos a analizar la primera parte de la respuesta. Lamentablemente, muchas personas no reaccionan correctamente a la detección de un programa malicioso y continúan trabajando con el equipo. Y es que todavía se puede intentar salvar una parte de los datos…
Al detectar el funcionamiento de un virus, enseguida apague el equipo, no espere que aparezca una demanda del rescate, lo cual dignificará que todo lo interesante para el malintencionado ya ha sido cifrado o robado.
Pero solo son recomendaciones, queríamos hablar de otra cosa. Así fue el resultado del análisis del incidente:
Es muy probable que se haya producido una entrada no autorizada en el sistema por rdp al hackear la contraseña de la cuenta. Eso se confirma con los mensajes que se guardan en el registro del sistema.
No había ningún antivirus.
Es decir, el cliente tenía la licencia, pero el antivirus no estaba instalado. No “estaba eliminado”, lo cual se notaría en los logs del funcionamiento del antivirus, sino no lo había.
Lamentablemente, a veces pasan cosas aún más tristes. La licencia comprada permanece inactivada y, por lo visto, debe asustar a los virus solo con su presencia. Y luego la gente dirá: teníamos un antivirus, pero se produjo una infección. Y es verdad, lo tenían, pero no estaba instalado.
Y no es un caso único. Las empresas reciben la licencia de sus supervisores y no la usan porque “no les dan miedo” los virus.
El mundo de antivirus recomienda
No olvide supervisar lo que se produce en Su equipo. En caso de instalar un antivirus, compruebe de vez en cuando si está y si funciona. Porque Sus niños, por ejemplo, pueden haber desinstalado el sistema de protección para entrar en algún sitio web que no les permitía consultar el antivirus. A veces estas cosas pasan...
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
Неуёмный Обыватель
23:25:52 2020-08-25
Lia00
23:08:45 2020-08-25
Шалтай Александр Болтай
20:16:43 2020-08-25
Toma
20:10:32 2020-08-25
Masha
20:01:35 2020-08-25
Татьяна
19:50:47 2020-08-25
Dmur
16:34:03 2020-08-25
EvgenyZ
14:23:05 2020-08-25
Пaвeл
09:10:28 2020-08-25
No hay palabras, solo emociones.
GREEN
08:04:50 2020-08-25
Aquí ni siquiera estamos hablando de precaución y atención, solo de algún tipo de descuido ...
y como dicen, los comentarios son superfluos.
PD "No necesitas un cuchillo a un tonto, le mentirás con tres cajas y harás con él lo que quieras"
ka_s
06:57:35 2020-08-25