¿Cómo puedo encontrar cómo Cryptowall se infiltró en mi red de trabajo? [cerrado]

Navega tus respuestas
2

Ayer por la mañana, un colega notó que todos los archivos en la carpeta pública del servidor de archivos estaban encriptados y tenían la 

[email protected]
texto añadido a cada nombre de archivo.

Cualquier persona en la red local alámbrica puede ver la carpeta pública y cualquiera puede escribir / leer / ejecutar en esta carpeta.

A pesar de esto, el servidor de archivos parece estar bien; No hay un uso elevado de la CPU, ni mensajes de rescate ni alteraciones extrañas en la GUI. Además, los archivos de usuarios locales del servidor aparecen intactos.

Por no mencionar que el servidor de archivos no puede acceder a Internet a propósito.

El problema es que no puedo encontrar la forma en que se introdujo en mi red, ya que todas las computadoras parecen estar bien. A excepción de la carpeta pública, todos los archivos son buenos, no hay programas sospechosos, todas las computadoras y el servidor de archivos se ejecutan con ESET Smart Security, no tienen un alto uso de CPU y solo usamos una computadora para enviar correos electrónicos.

¿Alguna idea sobre cómo puedo encontrar qué computadora fue infectada?

Para su información, no hay un firewall de hardware, todas las computadoras y mfps se conectan a un conmutador que obtiene conexión a Internet desde un enrutador One Access 150.

    
pregunta marksf 06.11.2015 - 08:49
fuente

1 respuesta

1

Usted declaró que no tiene un firewall de hardware, no hay garantía de que el ataque se haya producido desde una máquina interna. Podría estar exponiendo numerosos puertos a internet.

Un firewall de nivel empresarial ayudaría a prevenir futuros ataques y la mayoría de estos dispositivos vienen con capacidades de registro de tráfico que ayudan a la investigación forense.

La mayoría de las soluciones de AV a nivel empresarial proporcionan una plataforma de administración central que lanza nuevas actualizaciones de definición y registra todos los archivos / máquinas infectados. Estoy más familiarizado con la oferta de Trend sobre esto, sin embargo, tendrá que investigar cada solución por sí mismo para verificar que se ajuste a las necesidades de su negocio.

Para su problema inmediato, debe aislar su red de Internet. Luego, aísle todas las máquinas (incluidos los servidores y las computadoras portátiles BYOD, etc.), ejecute un comprobador de virus independiente en cada máquina. Solo debe volver a conectar las máquinas a la red una vez que se hayan verificado como limpias.

Sí, es largo y laborioso, pero el lado positivo es que puede presentar un reclamo por horas extra este fin de semana.

    
respondido por el Burgi 06.11.2015 - 11:31
fuente

Lea otras preguntas en las etiquetas

¿Cómo 'iniciamos' el intercambio de correo con PGP? ¿Cómo escanear archivos .bin grandes para detectar malware?