Restauración del ransomware – La historia de Jack, parte II

por | Jun 24, 2021 | Ridge Security

La semana pasada les presentamos a Jack, un experto informático, y como un día fue víctima de un ataque de ransomware sin saberlo.

Aunque el impacto del malware Phobos en sus servidores Windows® todavía resultaba doloroso, Jack pronto se recompuso y se tranquilizó lo suficiente como para evaluar la situación y los daños. Después de examinar cuidadosamente sus archivos en los servidores Windows®, encontró un rayo de esperanza.

Se dio cuenta que los hackers no habían cifrado las tres máquinas virtuales de la producción. Hace dos años, cuando Jack había configurado este sistema, había virtualizado el Window® Server, e instalado tres máquinas virtuales sobre el Windows® Server para ejecutar todas sus aplicaciones empresariales.  

Jack se enteró de que el hacker del ransomware no pudo obtener los privilegios del administrador de Window que le permitieran eliminar los procesos de virtualización que se estaban ejecutando activamente en estos sistemas virtuales. Esto impidió que el hacker cifrara los archivos relacionados con la máquina virtual, ya que esos archivos estaban en uso.  En cambio, todos los archivos que quedaban en los servidores de Windows® fueron encriptados, incluyendo los archivos del Administrador de Cuentas de Seguridad (SAM) y de Restauración del Sistema. Con estos archivos encriptados, Jack no podía iniciar sesión en el sistema o incluso restaurar los Servidores Windows a partir de copias de seguridad recientes.

De repente, Jack se encontró sumergido en un intenso sudor frío.

Si el ransomware permanecía en su sistema, podría eventualmente obtener privilegios de administrador a través de la Escalada de Privilegios, y luego Forzar el Cierre de todos los procesos y finalmente iniciar el proceso de cifrado en las máquinas virtuales.

La idea le aterrorizaba un poco: una de las máquinas virtuales de producción albergaba una base de datos muy grande, de 1 Terabyte de tamaño. Aunque encriptar un archivo de 1T lleva mucho tiempo de proceso, el ransomware puede hacerlo si obtiene el tiempo que necesita.

Jack ha tomado una decisión rápida pero crítica: forzar el cierre de los dos servidores Windows® comprometidos, como en las películas de espionaje. El cierre del servidor evitaría la propagación del malware ransomware. Pero lo más importante es que le daría a Jack la oportunidad de recuperar algunos de sus datos críticos.

Resultó ser una decisión acertada.

Jack desconectó el disco duro de Windows® Server del chasis del servidor, puso el disco duro en una carcasa USB y lo conectó a un ordenador limpio como almacenamiento externo. Desde este ordenador limpio, pudo acceder a todos los archivos del disco duro, incluyendo los archivos cifrados por el malware ransomware Y los archivos de la máquina virtual NO cifrados por el ransomware.

A partir de ese momento, sintió que la suerte estaba de su lado, y su destello de luz se convirtió en un faro de esperanza.

A continuación, realizó cuidadosamente una copia de estos archivos críticos de la máquina virtual y se dispuso a hacer una nueva copia de seguridad de sus servidores. Jack encontró otro servidor limpio y realizó una instalación limpia de Windows® Server. Esta vez, se tomó su tiempo e instaló diligentemente todos los parches necesarios, en concreto, los parches de seguridad críticos necesarios para protegerse del malware intrusivo.

A continuación, siguió el mismo proceso para virtualizar los servidores Windows®, pero no tuvo que instalar máquinas virtuales desde cero. En su lugar, importó las máquinas virtuales que había recuperado del antiguo disco duro de Windows® Server.

Después de volver a crear una nueva copia, aplicar parches y reinstalar sus máquinas virtuales, Jack pudo volver a poner en marcha sus aplicaciones empresariales, con sus pedidos intactos.

Y NO, no pagó el rescate. Pero aprendió una valiosa lección.