Protege tus copias de seguridad del virus que encripta

Protege tus copias de seguridad del virus que encripta para mantenerla a salvo, ya que es tan importante hacer una copia de seguridad, como verificar su integridad y mantenerla a salvo.

Como hemos ido advirtiendo en las últimas publicaciones como por ejemplo ésta

Están proliferando cada vez más a menudo, los virus que encriptan los archivos. Como os hemos dicho, es importante tener copias de seguridad, pero… ¿y si la copia de seguridad también se encripta?

Os voy a explicar unos pasos sencillos para ocultar el disco duro (o partición) donde se hace la copia de seguridad para que si nos infectáramos del virus cryptlocker o wannacrypt (los que encriptan los archivos), no puedan encriptar la copia de seguridad.

Vamos a usar la utilidad de Windows Diskpart y lo único que tenemos que hacer es saber el nombre del volumen (disco o partición) donde hacemos la copia de seguridad.

Abrimos una consola con permisos de administrador y escribimos «diskpart»

Posteriormente, escribimos «list volume» y apuntamos el número del volumen que queremos y la letra de la unidad, que en este caso es el volumen 3, cuya letra es Z: y es una partición del disco duro llamada Seguridad

Sólo necesitamos este dato, conocer el volumen, así que salimos de diskpart escribiendo «exit»

El siguiente paso es crear dos archivos de texto, que en mi caso los he llamado «ocultar.txt» y «visible.txt» :

El archivo ocultar.txt tiene el siguiente código:

select volume 3
remove
exit

En mi caso el volumen era el 3, luego cambiaremos el número 3 por el que hayamos apuntado en el paso anterior.

Y el archivo visible.txt:

select volume 3
assign letter Z
exit

En mi caso el volumen era el 3 y la letra Z, luego cambiaremos el número 3 y la letra Z por los que hayamos apuntado en el paso anterior.

Ahora usaremos la siguiente sintaxis:

diskpart /s "c:\ocultar.txt"
diskpart /s "c:\visible.txt"

Según queramos ocultar o hacer visible el volumen.

A partir de ahora, tenemos infinidades de combinaciones para poder ocultar y hacer visible automáticamente el volumen.

Por ejemplo:

Siguiendo el manual de esta publicación, podemos programar una tarea en Windows que:

Tenga como desencadenador el inicio del sistema, de esta forma, cada vez que arranquemos windows, se ocultará el volumen para protegerlo de virus que encriptan.

 Como último paso, nos faltaría hacer visible el volumen antes de hacer la copia de seguridad.

Según el programa escogido para hacerla (cobian backup por ejemplo), previamente le indicaremos que ejecute:

diskpart /s «c:\visible.txt» para hacerlo visible.

versiones-anteriores-de-archivos

Versiones anteriores de archivos

Versiones anteriores de archivos

No todo el mundo conoce la característica de Versiones anteriores de archivos en Windows y creo que es muy útil en determinadas circunstancias. En esta entrada veremos cómo programar a nuestro criterio esta característica de Windows.

Desde la eliminación de un archivo mediante Mayus+supr (sin pasar por la papelera), a la modificación de un archivo erróneamente ( y te das cuenta unos días después) o a la más temida últimamente, que es la encriptación de archivos y carpetas por virus del estilo ransomware, la característica de Windows de Versiones anteriores nos puede ayudar a recuperar dichos archivos.

Vamos a ver como configurar de forma avanzada esta característica:

Lo primero que tenemos que activar es la restauración del sistema desde la pestaña Protección del sistema de las Propiedades del sitema. Activamos Restaurar configuración del sistema y versiones anteriores de archivos y le damos al menos un 20-25% del tamaño del disco para poder tener un buen histórico.

proteccion-disco-local

Si no te deja habilitarlo, revisa que en los servicios de Windows tengas iniciado y en Automático el servicio Proveedor de instantáneas de software de Microsoft

proteccion-disco-local

Bien, llegados a este punto ya tendríamos configurado que Windows guarde una copia de las carpetas cada vez que cree un punto de restauración, pero esto lo hace cuando hay algún cambio en el sistema, al instalar/ desinstalar programas, etc, o se cree manualmente dicho punto de restauración.

Vamos a ir un paso más allá, y vamos a programar la creación de un punto de restauración (diariamente, semanalmente, etc).

Paso 1: Decirle a Windows que no controle la frecuencia de la creación de puntos de restauración.

Para ello, abrimos el regedit y navegamos hasta la siguiente cadena:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

Creamos un nuevo valor DWORD (32bits) llamado SystemRestorePointFrequency con valor hexadecimal 0

Y con esto, deshabilitamos que Windows controle la frecuencia de creación de puntos de restauración.

Paso 2: Programar la creación de puntos de restauración a nuestro antojo.

Abrimos el Programador de tareas y creamos una nueva tarea:

En la pestaña General, escribimos el nombre de la tarea y seleccionamos Ejecutar tanto si el usuario inició sesión como si no y Ejecutar con los privilegios más altos

En la pestaña Desencadenadores creamos uno nuevo, y en el desplegable Iniciar la tarea:  seleccionamos el que más nos convenga. A mi modo de ver las cosas, yo usaría Según una programación (diariamente a las 00:00h) ó Al inciar el sistema (en cuanto arranca Windows crea el punto)

Según una programación

Al iniciar el sistema

En la pestaña Acciones creamos una nueva acción:

Dejamos seleccionada la Acción Iniciar un programa y en programa o script escribimos

wmic.exe

y en argumentos

/Namespace:\\root\default Path SystemRestore Call CreateRestorePoint "Startup Restore Point", 100, 7

En la pestaña Condiciones desmarcamos todos checks que hayan

Una vez revisadas todas las pestañas (la de configuración se deja como está por defecto) pulsamos en Aceptar y nos preguntará por la contraseña del usuario para poder ejecutar la tarea

Con esto ya tenemos creada la tarea. Si pinchamos en Biblioteca del Programador de tareas, veremos la tarea que acabamos de crear con todas sus opciones.

Aquí os pongo una captura de pantalla de la carpeta Descargas, habiendo configurado los puntos de restauración al inicio del sistema.

Importante: Esta característica de Windows no está pensada para hacer copias de seguridad, para ello usa herramientas específicas para ello.

Fuentes: www.microsoft.com y www.google.com

Emails con ransomware cryptolocker, mucho cuidado

Emails con ransomware cryptolocker ¡Cuidado con los emails que recibes!

Queremos concienciaros  sobre los últimos emails con ransomware cryptolocker o wannacrypt que están circulando por la red… los cuales encriptan todos los archivos del ordenador que se infecta y de todas las unidades de red que se tengan conectadas.

Este malware (conocido como ransomware cryptolocker) es especialmente peligroso ya que una vez instalado, cifra todos los archivos con determinadas extensiones las cuales incluyen archivos de Microsoft Office, OpenDocument, Autodesk, Adobe, imágenes y otros documentos.
El cifrado se realiza con una clave que es casi imposible de averiguar, y se solicita un rescate por medio de Bitcoins u otros medios anónimos para desencriptarlos.

Se recibe a través de un falso email de una marca conocida como pueden Correos, Seur, Endesa, etc o incluso de un contacto conocido que ya esté infectado, con un enlace a la descarga de un fichero con extensión ZIP, PDF, JS, que al ejecutarlo instala el troyano dentro del equipo local del usuario y empieza a encriptar.

Desde NoSoloInformatica siempre recomendamos que haya una copia de seguridad de todos los archivos importantes y que no se abran esos emails. Si tenemos la duda de si el correo tiene virus o no, ¡no lo abras!

En caso de infección, lo primero que debes hacer es apagar el ordenador para que no siga encriptando más archivos.

Hoy en día, existen multitud de programas de limpieza de este virus, nosotros recomendamos Dr.Web de CureIt. Lo único que tienes que hacer es arrancar Windows en modo seguro con funciones de red, descargarlo, ejecutarlo y lo limpia.

Una vez limpio el sistema, tendrás que restaurar una copia de seguridad de los archivos encriptados.

Como comentamos en la entrada sobre las Versiones anteriores de archivos, esta utilidad de windows te podría servir para restaurarlos.

Fuente: www.google.com