Empresa de moda, Madrid.

Noviembre, 2.014.

En esta ocasión nos llamó un cliente histórico, al que vemos con alguna regularidad y siempre a demanda suya.

No tenemos nada convenido con ellos en cuanto a algún mantenimiento preventivo o similar (aunque siempre se lo hemos sugerido); son clientes de hace muchos años y cuando ellos lo estiman conveniente nos llaman con una “ristra” de incidencias informáticas que tienen en ese momento y, ese día, vamos y se las resolvemos todas; y digo “ese día” porque, generalmente, sólo vemos a ésta empresa dos o tres veces al año pero cuando nos toca acudir, es para echar el día entero en la asistencia técnica.

En aquella mañana, sobre la 09:30 horas, recibimos la llamada de Amaya. Nos comenta que habían estado trabajando con normalidad hasta el día anterior pero que, esa mañana, algo raro le pasaba al ordenador. Al parecer, sin venir a cuento, archivos que podían abrir como siempre (me ponía el ejemplo de unos cuantos del escritorio), ahora no querían abrirse.

Para realizar comprobaciones adicionales, le pido a Amaya que me de paso con nuestra herramienta de control remoto a su escritorio para verificar que es lo que estaba pasando y vemos que, en efecto, así es. Primero pensamos incluso que pudiera tratarse de una asignación errónea de algunos archivos concretos sobre la aplicación que debiera abrirlos (esto es, que lo mismo había tocado en algún sitio para decirle a un archivo PDF que fuera abierto con Microsoft Excel), pero no; algo muy extraño había con lo que estaba ocurriendo puesto que no eran archivos de una sola tipología los que no se podían abrir, sino que había, entre otros, archivos .doc, .xls, .pdf, .jpg…raro, raro…

Decididamente, llamamos a la empresa de seguridad informática (la empresa de antivirus de la que somos distribuidores desde hace muchos años y en la cual confiamos el 100% de soluciones en materia de seguridad informática que proporcionamos a nuestros clientes), y nos indica que todo parece ser un ransomware y que le preguntemos al cliente por algún hecho diferenciador que hubiera determinado el cambio en el comportamiento del equipo: sin lugar a dudas se trataba de encontrar el detonante que había desencadenado todo aquello.

Me pongo en contacto telefónico con Amaya nuevamente, que me indica que SÍ que hay algo que tal vez hubiera podido iniciar todo aquello: indica que, como todos los días, a primera hora (sobre las 08:30), según llega a la oficina enciende su equipo y abre el correo electrónico como todas las mañanas y seguidamente se pone a procesarlo. Recuerda que hubo un correo que le extrañó un poco: se trataba de una comunicación proveniente en apariencia de “Correos de España”  en el que se le daban instrucciones para obtener un justificante de un supuesto paquete que tenía que recoger…

¡Ahá! Ahí estaba lo que buscábamos.

virus correos

 Al parecer, justo tras clickar en los enlaces marcados e intentar abrir un supuesto “justificante de recogida de carta certificada”, se desencadenó un proceso que concluyó con la encriptación de miles de archivos del ordenador del cliente y que no sólo afectó al equipo donde se recibió ese correo, sino también a otros equipos de la red, unidades de red compartidas de otros equipos y también unidades conectadas a puertos extraibles como pudieron ser pendrives y discos externos USB. Tanto es así que el servidor de la empresa (más concretamente la carpeta que tenía compartida para el resto de los usuarios y donde se alojaba la información más sensible) así como uno de los discos de copia de seguridad que estaba conectado en ese momento por USB, resultaron ENCRIPTADOS.

¿que hacer a partir de ese momento?

La empresa de seguridad informática,  nos recomendó encarecidamente no realizar el pago exigido por los “hacker secuestradores” puesto que, según decían, no se estaba recibiendo ninguna herramienta de desencriptación a cambio (según lo aludido por otros clientes que les habían llamado y había realizado el pago) y lo único que pasaría es que el cliente se quedaría sin el dinero y sin el archivo para desencriptar que nunca sería recibido a la vuelta del pago con lo que, no quedaba más remedio que acudir a los discos de la copia de seguridad, cosa que, si el cliente había llevado una buena praxis con ello, no tendría nada que temer o bien la pérdida de datos tendría que ser mínima.

He aquí otro de los problemas. ¡la copia de seguridad! La empresa tenía dos discos duros con un programa automatizado que hacía la copia en uno u otro, según el que estuviera conectado. Se trataban de dos discos duros externos USB en los que todas las madrugadas tanto si estaba conectado el uno o el otro, realizaba una copia de seguridad de los archivos del servidor. La teoría decía que los discos se cambiarían con cierta regularidad (recomendamos semanalmente) para que, llegado el caso, se perdiera el mínimo de información y pudiéramos acudir al otro que no estaría conectado al servidor y que, en el mejor de los casos, no estaría ni en las propias instalaciones de la empresa: esa era la mejor salvaguardia en caso de que entraran a robar o hubiera un incendio o una inundación.

En este caso, lo de siempre: “que si le tocaba a fulanito cambiarlo”, “que no que era menganito el que lo cambiaba” y al final, “la casa sin barrer” como suele decirse;

  1. Nadie se estaba haciendo cargo de intercambiar los discos semanalmente como recomendamos.
  2. Recordemos que estábamos con los datos encriptados en los equipos de la red, en la carpeta de DATOS del servidor y que el disco de copia de seguridad que estaba conectado por USB al SERVIDOR , también estaba encriptado.

Pues bien, como decíamos al principio, este caso data de noviembre de 2.014; pues localizaron el disco duro de la copia de seguridad que no estaba conectado al servidor sino que estaba en un cajón de la oficina (no es lo más recomendado como dijimos anteriormente, en caso de robo, incendio o inundación de la oficina pero ahí estaba), y ¡tenía una copia de seguridad!. La sorpresa vino cuando accedimos a ver de cuando databa…¡JUNIO de 2.013!

Pues señores, con eso tuvieron que conformarse…

Gracias de antemano por vuestra atención y ojo a las copias de seguridad.

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg solucionvirus@hotmail.com