EDICIóN GENERAL

Más de 1.5 Millones de euros en Bitcoin como rescate a Everis, Accenture y Cadena SER

#3 por eso han mandado apagar todos los ordenadores...
#5 ... Pues precisamente es una de las cosas que hay que hacer con un ataque de esa magnitud.
#7 si tienes las cosas bien hechas no tienes que apagar los ordenadores. si tienes los ordenadores sin parchear, si.
#23 Lo que tú digas tío.
#29 #32 goto #56 es una CHAPUZA
#62 no, tio, es precaucion basica. Ante un ataque no corres riesgos, ni en informatica ni en ningun otro gremio, y tener toda la red activa sin saber cual es el problema es un riesgo evidente. Aunque dediques todos los recursos del mundo a proteger los equipos siempre hay una posibilidad de error, hacer como si no pasara nada cuando ya te han entrado sería de una prepotencia absurda.
#62 qué haces con un zeroday?
#23 ¿Y como sabes que no es un malware nuevo para el que no hay parches?

Primero cortas de raíz la propagación del problema y cuando sepas de qué se trata ya ves si existe parche.
#32 con apagar los switches cortas la propagacion del problema.
#36 Y si apagas los switches no vale de nada tener encendidos los pcs, o por lo menos la gran mayoría de ellos.
#36 Si. Eso hice con el wannacry. Me fui a la sala de comunicaciones y apagué el switch, pero el coordinador entró en pánico y empezó a decirle a todo el mundo que apagase el ordenador a botonazo.
#36 Puede que tu pc ya lo tenga pero aún no te has enterado porque esta encriptando. Si apagas evitas que acabe de encriptar todos los datos.
#23 No sé si sabes como funciona un ataque de estos, pero lo que suele hacer es encriptar todos los archivos del disco duro. Si los apagas consigues detener los que aún no han sido completamente encriptados y salvar ficheros. No se trata de evitar la propagación, sino detenerla en los que ya están infectados.

cc/ #44
#68 repito, si tienes las cosas bien hechas no hace falta, pero segun #56 han sido afectados por una vulnerabilidad parcheada en MAYO. como para bloquear los adjuntos peligrosos. por cierto, estas mierdas para cuando te has dado cuenta ya te han encriptado todo.
#70 Es que si tuvieran las cosas bien hechas no estarían en esta situación, pero si ya tienen unos cuantos infectados claro que hace falta. Y lo de tenerlo todo encriptado, pues depende de como esté preparado el virus, si está preparado para saltar a una hora concreta puede que cante la liebre en los PCs con menos ficheros y salven algo de los que tienen más.
#70 no soy experto, pero por mucho que tengas todo preparado te puedes proteger de los ya existentes y conocidos, pero de los nuevos virus o vulnerabilidades no. Por tanto parece lógico tomar precauciones.
#23 Es más fácil restaurar servidores sin usuarios haciendo peticiones como locos...
#74 primero cortas el acceso a los usuarios apagando los switches, luego restauras y parcheas la vulnerabilidad arreglada en mayo.
#76 Me gusta la idea, aunque luego toca abrir un poco el grifo y ver si sigue goteando en algún sitio.
#23 Es IMPOSIBLE no tener ningun fallo de seguridad, pero bueno aqui en Meneame todos son expertos en seguridad
#101
¿LOL?
Un ordenador infectado o que no se sabe si está infectado con rasonware hay que apagarlo... lol
lol... ¿hiciste la comunión hace 5 años o algo así?
#7 Aokromes, tiene razón. En caso de una infección por Ransomware lo mejor es mantener los equipos encendidos pero desconectados de la red.

La razón por la que mantener los equipos encendidos son:
1. Algunos Ransomwares encriptan los archivos a en el reinicio o apagado del equipo, por lo cual manteniendolos encendidos daría la posibilidad de hacer una copia de los datos (Especialmente documentos de texto, hoja de calculo, etc).

2. Mantener el equipo encendido puede ayudar a recuperar "snapshots" o copias de seguridad que han sido (muy probablemente) eliminadas por el Ransomware pero que no han sido eliminadas físicamente del disco.

3. Desde el punto de vista forense, poder analizar un equipo que todavía no ha sido inutilizado puede servir con fines de investigación e incluso en algunos casos han ayudado a desencriptar los archivos de otros equipos.

En vez de dar orden de apagar los equipos, se debería dar orden de hacer copias de los documentos y archivos importantes antes de nada.
#214 Pues mira, suena muy lógico, creo que eres el único que ha dicho algo argumentado y con lógica en esta noticia.

Aunque entenderás que en la empresa hay varios tipos de máquinas, algunas habrá que dejarlas encendidas y otras apagarlas, este rasonware en concreto sólo ha afectado a una parte de las máquinas (por lo visto tiene que llevar cierto tipo de disco duro para que el ataque funcione), y si la empresa ha tomado la decisión de apagar los pcs de los programadores tendrán sus motivos y estarán siguiendo un protocolo, que como no tenemos los detalles lógicamente ninguno de nosotros podemos saber si lo están haciendo mal.

Y yo no les digo qué es lo que tienen que hacer porque ellos están haciendo las cosas como se tienen que hacer y lo van a tener solucionado en el menor tiempo posible, de echo creo que ya está solucionado en la empresa.

Así que puede ser que no haya que apagar ciertas máquinas, pero lo que digo en #3 lo sigo manteniendo, hablar sin tener NPI idea de lo que está pasando es gratis.
#215 "Así que puede ser que no haya que apagar ciertas máquinas, pero lo que digo en #3 lo sigo manteniendo, hablar sin tener NPI idea de lo que está pasando es gratis. "

Pues eso mismo te lo puedes aplicar a ti mismo.
#224 Si tú lo dices...
#214 pero a los discos se puede acceder una vez has apagado desde otro SO.
Y Ahí o está cifrado o no está cifrado, como antes de apagar.

Si tienen ransomware programado para x hora apagandolos evitas que se ejecute, y si esta convirtiendo los archivos y apagas el pc beiras que termine te convertir todos.

No entiendo en qué puede ayudar dejar el pc encendido.
#214 Totalmente. Especificamente, WannaCry tenia "un bug" en el que no eliminaba la clave que se habia utilizado para cifrar los ficheros de memoria. Acabaron sacando una utilidad para descifrar los ficheros (siempre y cuando no hubieses reiniciado)
#214 eso es una gilipollez como un piano. Encriptan cuando están encedindos. Apagandos no encriptas. Si no han encriptado o no han encriptado parte, todavía puedes sacar el disco y recuperar.
#5 En Accenture no lo han pedido, ni siquiera han mandado un correo así que dudo que sea para tanto.
#40 no se, en everis ya te digo yo que han mandado apagar los ordenadores a las 8:32 de la mañana
#40 no sé dónde saca esa información pero, que yo sepa, Accenture no se ha visto afectado.

menéame