- syhcomputacion
- Cantidad de envíos : 393
Edad : 50
Fecha de inscripción : 18/02/2008
Virus Anti-child Porn Spam Protection (version 2.0)
Mar Jul 23, 2013 8:31 am
buenos dias, amigos se que no tiene que ver nada con premium, pero quisiera saber si alguien me puede ayudar con esto:
tengo un servidor 2003 y me ha entrado el virus en cuestion, me ha encriptado miles de archivos, he logrado acceder al servidor pero no veo la forma de poder descifrar los ficheros, la Empresa esta parada.
Ha borrado todas las copias que estaban en local, y ademas ha borrado el antivirus, el program de hacer las copias, y cualquier programa que tuviera relacion con copias.
No se si alguien me puede ayudar, es una Empresa y esta parada y sin ninguna informacion accesible.
Gracias
tengo un servidor 2003 y me ha entrado el virus en cuestion, me ha encriptado miles de archivos, he logrado acceder al servidor pero no veo la forma de poder descifrar los ficheros, la Empresa esta parada.
Ha borrado todas las copias que estaban en local, y ademas ha borrado el antivirus, el program de hacer las copias, y cualquier programa que tuviera relacion con copias.
No se si alguien me puede ayudar, es una Empresa y esta parada y sin ninguna informacion accesible.
Gracias
- ELOY-26
- Cantidad de envíos : 25
Edad : 42
Localización : BARCELONA-VENEZUELA
Fecha de inscripción : 07/12/2009
Anti-child Porn Spam Protection
Mar Jul 23, 2013 9:34 am
Amigo Richard revisando en internet es serio este virus seguire googleando a ver quien a resuelto
Re: Virus Anti-child Porn Spam Protection (version 2.0)
Mar Jul 30, 2013 9:40 am
Según información de los laboratorios de: Dr.Web, ESET, Panda, Kaspersky, McAfee, y Emsisoft, hasta el momento no existe una manera viable de poder recuperar los archivos cifrados por la versión 2.0 de "Anti-child Porn Spam Protection"
Este ataque se produce en la mayoría de los casos en fin de semana y va dirigido a empresas que utilizan el servicio Terminal Server en servidores Microsoft Windows 2003 Server. Para realizar el ataque se intentan comunicar con los servidores a través del puerto 3389, si el servidor les contesta, intentan acceder al servidor a través del terminal server utilizando la fuerza bruta para averiguar usuarios y contraseñas de acceso.
Una vez que se hacen con la contraseña de un usuario, elevan los privilegios aprovechando normalmente vulnerabilidades en el escritorio remoto (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223), consiguiendo acceso al servidor con privilegios de administrador o ejecutando código de forma remota. En ese momento el atacante detiene o desinstala completamente el antivirus instalado, sea cual sea, e inicia el proceso de infección del sistema, cifrando los archivos que se encuentran en el servidor. Este ataque también afecta a las copias de seguridad que pueden ser cifradas o incluso eliminadas.
La infección cifra todos los datos en los siguientes formatos y le aplica una contraseña con clave AES de 256bits
Fuente: http://www.elladoimpar.es/2013/06/nueva-variante-de-anti-child-porn-spam-protection-2-0/
Lo mejor que podemos hacer para proteger nuestros servidores es seguir estas indicaciones:
Utilizar contraseñas fuertes (alfanuméricas de mínimo 12 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.
Deshabilitar cualquier usuario por defecto dentro del sistema que no esté en uso.
Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario, utilizar un puerto no estándar o, mejor aún, que solo sea accesible mediante conexiones de red seguras como son las VPN.
Tener actualizado los equipos con todos los parches de seguridad correspondiente (recomendamos particularmente corregir ahora las dos vulnerabilidades antes mencionadas) y a la fecha.
Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. Este punto es clave, ya que de existir esta protección, en este caso la infección no se podría llevar a cabo.
Contar con una política de backups que aloje los mismos dentro de sistemas protegidos y preferentemente aislados.
Realizar auditorías de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
Fuente: http://www.forospyware.com/t464877.html#post2192179
Espero les sirva de ayuda.
Este ataque se produce en la mayoría de los casos en fin de semana y va dirigido a empresas que utilizan el servicio Terminal Server en servidores Microsoft Windows 2003 Server. Para realizar el ataque se intentan comunicar con los servidores a través del puerto 3389, si el servidor les contesta, intentan acceder al servidor a través del terminal server utilizando la fuerza bruta para averiguar usuarios y contraseñas de acceso.
Una vez que se hacen con la contraseña de un usuario, elevan los privilegios aprovechando normalmente vulnerabilidades en el escritorio remoto (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223), consiguiendo acceso al servidor con privilegios de administrador o ejecutando código de forma remota. En ese momento el atacante detiene o desinstala completamente el antivirus instalado, sea cual sea, e inicia el proceso de infección del sistema, cifrando los archivos que se encuentran en el servidor. Este ataque también afecta a las copias de seguridad que pueden ser cifradas o incluso eliminadas.
La infección cifra todos los datos en los siguientes formatos y le aplica una contraseña con clave AES de 256bits
Fuente: http://www.elladoimpar.es/2013/06/nueva-variante-de-anti-child-porn-spam-protection-2-0/
Lo mejor que podemos hacer para proteger nuestros servidores es seguir estas indicaciones:
Utilizar contraseñas fuertes (alfanuméricas de mínimo 12 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.
Deshabilitar cualquier usuario por defecto dentro del sistema que no esté en uso.
Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario, utilizar un puerto no estándar o, mejor aún, que solo sea accesible mediante conexiones de red seguras como son las VPN.
Tener actualizado los equipos con todos los parches de seguridad correspondiente (recomendamos particularmente corregir ahora las dos vulnerabilidades antes mencionadas) y a la fecha.
Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. Este punto es clave, ya que de existir esta protección, en este caso la infección no se podría llevar a cabo.
Contar con una política de backups que aloje los mismos dentro de sistemas protegidos y preferentemente aislados.
Realizar auditorías de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
Fuente: http://www.forospyware.com/t464877.html#post2192179
Espero les sirva de ayuda.
Permisos de este foro:
No puedes responder a temas en este foro.