Ordenador encriptado Xdedic Log Cleaner

marketto · 29 Abr 2019

Buenas colegas

Llego al curre y me encuentro mi pc, servidores y demás, encriptados por un virus o troyano o como se llame.
Un tal Xdedic Log Cleaner.
Alguna idea que nos ayude a limpiar sin tener que formatear todo?
Tenemos copias de seguridad del servidor pero no de los pc. Todo lo importante está en el servidor, en el pc sólo archivos de uso diario. No es muy serio si perdemos estos pero claro, preferimos no perderlos...

A ver si alguno puede aconsejarme.
Gracias
Un saludo

Alvaris · 29 Abr 2019

bufff que movida. No os piden pasta por clave de desencriptado??? había algo que las desencriptaba.... pero no recuerdo. De todas formas, en mi curro, al final restauramos a partir de copias de seguridad.

marketto · 29 Abr 2019

Se ha comido también las copias de seguridad en el Nas,..., así las de Windows server,...
En la nube sólo teníamos las copias del programa de gestión, pero todo lo demás está encriptado.

Es mucho más grave de lo que pensábamos al principio

Alvaris · 29 Abr 2019

marketto dijo:
Se ha comido también las copias de seguridad en el Nas,..., así las de Windows server,...
En la nube sólo teníamos las copias del programa de gestión, pero todo lo demás está encriptado.

Es mucho más grave de lo que pensábamos al principio

No hacéis copias en LTO o un formato similar??? ostia, pues tenéis un problema

marketto · 29 Abr 2019

alvaris dijo:
No hacéis copias en LTO o un formato similar??? ostia, pues tenéis un problema

Teníamos varios sistemas y resulta que han fallado todos.
No tenemos un problema, tenemos un problemón

Alvaris · 29 Abr 2019

Y probar a restaurar con algún software tipo getdataback?

marketto · 29 Abr 2019

alvaris dijo:
Y probar a restaurar con algún software tipo getdataback?

Ni idea... Por lo que he podido ver el virus es el Globeimposter 2.0

Alvaris · 29 Abr 2019

marketto dijo:
Ni idea... Por lo que he podido ver el virus es el Globeimposter 2.0

https://www.bugsfighter.com/remove-...omware-and-decrypt-ppam-anami-or-sambo-files/

ElGarufo · 1 May 2019

alvaris dijo:
https://www.bugsfighter.com/remove-...omware-and-decrypt-ppam-anami-or-sambo-files/

Tenía buena pinta esto, ¿alguna novedad?

marketto · 3 May 2019

ElGarufo dijo:
Tenía buena pinta esto, ¿alguna novedad?

Bueno, ya encontré una empresa que, según dicen, ha resuelto esto anteriormente de forma satisfactoria.
En concreto, el virus es Globeimposter 2.0, para el que supuestamente no hay método de desencriptación de momento.
Pero ya os digo que me dicen que sí y estoy esperando presupuesto.

SPTR · 8 May 2019

Hola. Hace mucho tiempo que no me daba una vuelta por aquí...

Yo en este tipo de ataques en empresas, es muy putada, porque ahora son muy sofisticados, ya que no dejan copia del archivo que encriptan. Encriptan no sé si en memoria y van sobreescribiendo encima, o bien, encriptan en un temporal y cuando acaban, sobreescriben origen o hacen borrado seguro. Peta las instantáneas y no puedes recuperar versiones anteriores y demás.

Los NAS si te los ha petado es porque no tenías implementado un sistema adecuado, es decir, una parte expuesta en la red y otra no expuesta con versionado.

En la nube hay empresas que permiten versionado por días y depende de lo que pagues te dan más o menos capacidad.

En el servidor, yo por ejemplo, en una pequeña empresa, montas un microserver de HP, le montas 3 discos y listo. 2 en RAID1 para el uso normal. Carpeta compartida, una o varias, no compartir nunca raíces de unidades. Tercer disco no expuesto en red que haga copias con instantáneas del RAID1, de modo que te haga copias bases + incrementales de los cambios.

Luego esas copias las puedes mandar a un NAS, o disco externo manualmente.

Una buena putada tienes, igual sólo queda pagar, pero en ese caso tienes 50% de probabilidad de que pagando sirva de algo. Lo malo que puede pasar es que pierdas pasta y datos.

Había una página por ahí para probar a desencriptar. Incluso la de los antivirus famosos tienen herramientas, pero vamos que no suelen servir, porque eso lo van cambiando cada dos por tres y no tienes mucho que hacer.

Hay empresas que incluso implementan firewalls con historias para evitar eso, pero aún así habría que ver si eso es efectivo.

Suerte.

marketto · 26 May 2019

SPTR dijo:
Hola. Hace mucho tiempo que no me daba una vuelta por aquí...

Yo en este tipo de ataques en empresas, es muy putada, porque ahora son muy sofisticados, ya que no dejan copia del archivo que encriptan. Encriptan no sé si en memoria y van sobreescribiendo encima, o bien, encriptan en un temporal y cuando acaban, sobreescriben origen o hacen borrado seguro. Peta las instantáneas y no puedes recuperar versiones anteriores y demás.

Los NAS si te los ha petado es porque no tenías implementado un sistema adecuado, es decir, una parte expuesta en la red y otra no expuesta con versionado.

En la nube hay empresas que permiten versionado por días y depende de lo que pagues te dan más o menos capacidad.

En el servidor, yo por ejemplo, en una pequeña empresa, montas un microserver de HP, le montas 3 discos y listo. 2 en RAID1 para el uso normal. Carpeta compartida, una o varias, no compartir nunca raíces de unidades. Tercer disco no expuesto en red que haga copias con instantáneas del RAID1, de modo que te haga copias bases + incrementales de los cambios.

Luego esas copias las puedes mandar a un NAS, o disco externo manualmente.

Una buena putada tienes, igual sólo queda pagar, pero en ese caso tienes 50% de probabilidad de que pagando sirva de algo. Lo malo que puede pasar es que pierdas pasta y datos.

Había una página por ahí para probar a desencriptar. Incluso la de los antivirus famosos tienen herramientas, pero vamos que no suelen servir, porque eso lo van cambiando cada dos por tres y no tienes mucho que hacer.

Hay empresas que incluso implementan firewalls con historias para evitar eso, pero aún así habría que ver si eso es efectivo.

Suerte.

Muchas gracias compañero. Acabo de ver tu respuesta.

Supuestamente todo estaba en orden para evitar esto, pero claro, cualquiera es informático... En mi propio ordenador había un enlace o como se llame al Nas y dice que por ahí ha entrado.

Por qué estaba ese enlace ahí? Pues yo pienso que cuando lo instalaron lo hicieron desde mi pc y no lo eliminaron.

ffcastro · 7 Jun 2019

marketto dijo:
Muchas gracias compañero. Acabo de ver tu respuesta.

Supuestamente todo estaba en orden para evitar esto, pero claro, cualquiera es informático... En mi propio ordenador había un enlace o como se llame al Nas y dice que por ahí ha entrado.

Por qué estaba ese enlace ahí? Pues yo pienso que cuando lo instalaron lo hicieron desde mi pc y no lo eliminaron.

En mi empresa siguen un método de backup rudimentario pero efectivo. el director se lleva todos los fines de semana una copia en un disco externo de la información importante. Aunque eso ya sería como medida para el futuro si conseguís recuperar la información actual. Siento lo del virus

Ordenador encriptado Xdedic Log Cleaner

marketto

Forista

Alvaris

Clan Leader

marketto

Forista

Alvaris

Clan Leader

marketto

Forista

Alvaris

Clan Leader

marketto

Forista

Alvaris

Clan Leader

ElGarufo

Forista

marketto

Forista

SPTR

Forista Legendario

marketto

Forista

ffcastro

En Practicas