Protege tus copias de seguridad del virus que encripta

Protege tus copias de seguridad del virus que encripta para mantenerla a salvo, ya que es tan importante hacer una copia de seguridad, como verificar su integridad y mantenerla a salvo.

Como hemos ido advirtiendo en las últimas publicaciones como por ejemplo ésta

Están proliferando cada vez más a menudo, los virus que encriptan los archivos. Como os hemos dicho, es importante tener copias de seguridad, pero… ¿y si la copia de seguridad también se encripta?

Os voy a explicar unos pasos sencillos para ocultar el disco duro (o partición) donde se hace la copia de seguridad para que si nos infectáramos del virus cryptlocker o wannacrypt (los que encriptan los archivos), no puedan encriptar la copia de seguridad.

Vamos a usar la utilidad de Windows Diskpart y lo único que tenemos que hacer es saber el nombre del volumen (disco o partición) donde hacemos la copia de seguridad.

Abrimos una consola con permisos de administrador y escribimos «diskpart»

Posteriormente, escribimos «list volume» y apuntamos el número del volumen que queremos y la letra de la unidad, que en este caso es el volumen 3, cuya letra es Z: y es una partición del disco duro llamada Seguridad

Sólo necesitamos este dato, conocer el volumen, así que salimos de diskpart escribiendo «exit»

El siguiente paso es crear dos archivos de texto, que en mi caso los he llamado «ocultar.txt» y «visible.txt» :

El archivo ocultar.txt tiene el siguiente código:

select volume 3
remove
exit

En mi caso el volumen era el 3, luego cambiaremos el número 3 por el que hayamos apuntado en el paso anterior.

Y el archivo visible.txt:

select volume 3
assign letter Z
exit

En mi caso el volumen era el 3 y la letra Z, luego cambiaremos el número 3 y la letra Z por los que hayamos apuntado en el paso anterior.

Ahora usaremos la siguiente sintaxis:

diskpart /s "c:\ocultar.txt"
diskpart /s "c:\visible.txt"

Según queramos ocultar o hacer visible el volumen.

A partir de ahora, tenemos infinidades de combinaciones para poder ocultar y hacer visible automáticamente el volumen.

Por ejemplo:

Siguiendo el manual de esta publicación, podemos programar una tarea en Windows que:

Tenga como desencadenador el inicio del sistema, de esta forma, cada vez que arranquemos windows, se ocultará el volumen para protegerlo de virus que encriptan.

 Como último paso, nos faltaría hacer visible el volumen antes de hacer la copia de seguridad.

Según el programa escogido para hacerla (cobian backup por ejemplo), previamente le indicaremos que ejecute:

diskpart /s «c:\visible.txt» para hacerlo visible.

archivos-con-nombres-largos-restaurarlos

Archivos con nombres largos, restaurarlos de una copia VSS

Archivos con nombres largos, como restaurarlos de una copia de seguridad VSS

En esta entrada trataré un problema que me surgió hace algún tiempo, y no es más que restaurar una copia de seguridad VSS que tiene archivos con nombres largos, de más de 260 caracteres (limitación de Windows que próximamente publicaré una entrada de como quitar esta limitación en windows 10).

La solución más cotidiana al problema de los archivos de más de 260 caracteres, consiste en crear una unidad de red a la carpeta raíz de dicho archivo para poder copiarlo, pero en este caso, dicho archivo proviene de una copia de seguridad VSS (https://en.wikipedia.org/wiki/Shadow_Copy) como la que configuramos en la entrada Versiones anteriores de archivos y este proceso se convierte en una verdadera hazaña.

En este caso opté por usar las herramientas DiskShadow y MkLink que aunque son herramientas que normalmente se usan en Windows Server, funcionan perfectamente con Windows 7.

Nota: DiskShadow lo puedes descargar aquí

Voy a guiaros a la hora de usarlo:

Lo primero que he hecho es crear una carpeta en c: llamada tmp y en ella he copiado los archivos extraídos de la descarga

A continuación vamos a ver cuántos snapshots tenemos creados y volcamos toda esa información en un archivo de texto para procesarlo luego. Para ello, abrimos una consola de windows con permisos de administrador y nos situamos en dicha carpeta, y escribiremos

C:\tmp>diskshadow /l listado.txt
DISKSHADOW> list shadows all
DISKSHADOW> exit

En este ejemplo tenemos disponibles 10 snapshots. Abrimos el fichero listado.txt generado y aquí se nos muestran los 10 snapshosts, os pongo un ejemplo de uno de ellos:

* Shadow copy ID = {bf92600c-7c79-48c1-9f2c-63f448e64bec} <No Alias>
 - Shadow copy set: {53513de7-1e9f-43a9-b630-13ac88d93e53} <No Alias>
 - Original count of shadow copies = 1
 - Original volume name: \\?\Volume{8363531a-4223-11e6-92ae-806e6f6e6963}\ [C:\]
 - Creation time: 05/07/2016 18:00:29
 - Shadow copy device name: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
 - Originating machine: ************-PC
 - Service machine: ***********-PC
 - Not exposed
 - Provider ID: {b5946137-7b9f-4925-af80-51abd60b20d5}
 - Attributes: No_Auto_Release Persistent Client_accessible Differential

Localizamos el snapshot del cual queremos extraer la copia y copiamos su «Shadow copy device name», en el ejemplo anterior sería:

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

El siguiente paso es crear un enlace simbólico a esta ruta para poder tener una ruta «más corta» a ese archivo, para ello volvemos a la consola y escribimos

C:\tmp>mklink /d c:\tmp\a \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Importante: Hay que poner una última barra «\» al final de la sentencia, sino no funciona.

  • mklink /d crea el enlace simbólico en la carpeta c:\tmp\a (o cualquier otro nombre) de la ruta \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

archivos-con-nombres-largos-restaurarlos-5

Ya tenemos «montada» la ruta simbólica del volumen «\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1″ en el directorio «a» y podemos proceder al copiado de los archivos necesarios usando por ejemplo robocopy para evitar la limitación de 260 caracteres.

Una vez terminado el proceso, eliminamos el enlace simbólico escribiendo en la consola

c:\tmp> rmdir c:\temp\a

En próximas entradas veremos más a fondo los comandos de robocoy para hacer copias de seguridad.