[TIP] Guia del administrador de sistemas en apuros: como apagar todos los recursos compartidos de la red con un solo comando.

Otro título sugerido: como evitar que cryptolocker, locky, o el ransomware de turno te siga haciendo mierda encriptando todos los archivos de la red.

 

Es imposible que a esta altura del partido no te hayas encontrado nunca o hayas escuchado hablar de los virus que te encriptan los archivos secuestrándolos para pedir rescate.

Ransomware - montaje representativo

Ransomware – montaje representativo

 

El modelo de negocio al parecer funciona demasiado bien, por lo que existen diversas variantes, cada cual con mayor o menor grado de astucia y complejidad, pero en el fondo todas apuntan a lo mismo: encriptar todo lo que haya a mano e imposibilitar los métodos más obvios de recuperación, rompiendo volume shadow copy por citar un ejemplo, incluidos los shares de la LAN (los recursos compartidos de las computadoras o servidores de la red).

Cuando estás del lado de los que administran los servidores de la red, a la primera señal de que hay un cryptolocker en la LAN vas a querer salir corriendo a:

  • Desconectar la workstation infectada con él ransomware para aislarla de la red.
  • Apagar todos los directorios compartidos de la red para que ningún otro idiota vaya por error a abrir el ejecutable que infecta las PC y continúe la cadena.

 

Apagar todos los shares de la red en Linux es muy fácil de lograr y de público conocimiento. Acá dudo que te esté diciendo nada que no sepas. Es solamente cuestión de detener samba:

/etc/init.d/samba stop y sus variantes: smbd stop y nmbd stop.

En Windows también se puede y acá es donde se pone interesante y a donde pretendia llegar. Podes apagar todos los recursos compartidos con un único comando desde la consola de comandos vía inicio / ejecutar / CMD:

net stop lanmanserver

 

Y ahí tenés. Con eso ya te podes olvidar del asunto en lo que a propagación de cryptocosos se refiere. A lo sumo tendrás que restaurar apenas algunos archivos sueltos desde el backup, cosa que dependerá principalmente de cuanto de tarde hayas llegado. Por que seguro tenias backups de todo, no?

Y al que me venga a preguntar que hacer a continuación o como volver a encender los recursos compartidos apagados lo cago a piñas.

4 comentarios

  1. Valla! Tiempo sin leerte viejo!
    Ya pensaba que te habías ido al otro lado… De la fuerza. En serio me alegra mucho poder leer de ti y que aun te encuentres On Line y eso que jamas te he visto la cara. Bueno… No es que yo me la pase por aquí a diario.
    A lo que dices del cryto, en general le pasa solo a los usuarios que… son solo eso! usuarios y no importa como y cuanto le expliques que no deben abrir correos XXX o que el antivirus no es Dios y les librara de todo mal.
    Aunque no soy un admin si me he encontrado con este mal en maquinitas de amigos y conocidos que piden ayuda por que los archivos se dañaron sólitos…
    Gracias Sensei por los consejos. Que la fuerza te siga acompañando.

    1. No sé cual será el otro lado pero sigo acá, mi honra está en juego, de auqí no me muevo y espero que el otro lado se demore una vida entera en venir a buscarme, je.

      Saludos de parte mía al próximo ransomware que te toque en suerte y gracias. Estos son los comentarios que hacen que a uno le den ganas de seguir escribiendo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *