En el servidor donde está instalado NOD32, su comportamiento, cuando hay una detección del ataque, es borrar el fichero DECRYPT.TXT y DECRYPT.HTML (instrucciones de pago del creador del virus), que genera la máquina cliente
al “atacar” los ficheros del servidor. Esto sirve para recuperar los datos encriptados, siguiendo el log del antivirus, a partir de la copia de seguridad o copias "Shadow".
Me puse en contacto con ESET, para ver si podía ejecutar una
acción, al detectar un tipo de virus, o un patrón concreto, pero parece que
no es posible, o no me lo supieron decir. Al final he optado por montar un sistema de avisos en el servidor o servidores, de tal manera, que si detecta algún tipo de virus, me avise a mi correo electrónico.
Se que esto puede ser una acción que muchos de vosotros programáis habitualmente, pero esto cobra más sentido con estas nuevas amenazas.
Tras entrar en la pantalla de configuración, que os indico en el gráfico adjunto, suelo retocar el mensaje, para que me indique el cliente y el servidor del que se trata. El resto de datos se tratan de una simple autentificación SMTP, cuenta origen y destino. (he creado una que es antivirus@miempresa.com)
Suelo ejecutar un test EICAR para verificar que funciona, y darlo por bueno.
No hay comentarios:
Publicar un comentario