sábado, 20 de septiembre de 2014

Eset NOD32. Alertas por criptovirus

Este tipo de virus, actualmente, atacan los recursos compartidos de la red, y los propios PCs infectados, encriptando las extensiones de los ficheros más sensibles (DOC?,, PDFs, XLS?, DBFs …)

En el servidor donde está instalado NOD32, su comportamiento, cuando hay una detección del ataque, es borrar el fichero DECRYPT.TXT y DECRYPT.HTML (instrucciones de pago del creador del virus), que genera la máquina cliente al “atacar” los ficheros del servidor. Esto sirve para recuperar los datos encriptados, siguiendo el log del antivirus, a partir de la copia de seguridad o copias "Shadow".

Me puse en contacto con ESET, para ver si podía ejecutar una acción, al detectar un tipo de virus, o un patrón concreto, pero parece que no es posible, o no me lo supieron decir. Al final he optado por montar un sistema de avisos en el servidor o servidores, de tal manera, que si detecta algún tipo de virus, me avise a mi correo electrónico.

Se que esto puede ser una acción que muchos de vosotros programáis habitualmente, pero esto cobra más sentido con estas nuevas amenazas.

Tras entrar en la pantalla de configuración, que os indico en el gráfico adjunto, suelo retocar el mensaje, para que me indique el cliente y el servidor del que se trata. El resto de datos se tratan de una simple autentificación SMTP, cuenta origen y destino. (he creado una que es antivirus@miempresa.com)

Suelo ejecutar un test EICAR para verificar que funciona, y darlo por bueno.





No hay comentarios: