Todos nos hemos acostumbrado a buscar y eliminar archivos desde la GUI de nuestros servidores sin pararnos a pensar mucho en si puede tener alguna posible consecuencia negativa.
Hace unas semanas, me encontré con un caso que he querido documentar, el entorno detallado es el siguiente:
Un servidor Windows 2012 R2 es atacado por el virus Ransomware Endesa y como consecuencia de ello todos los archivos de datos de los usuarios son encriptados.
Después de desencriptar convenientemente todos los datos, busqué en la unidad de disco, haciendo uso de la GUI de Windows 2012 todos los archivos con la extensión *.encrypted y los borré, seguidamente comprobé que no quedaba ningún archivo.
Después de desencriptar convenientemente todos los datos, busqué en la unidad de disco, haciendo uso de la GUI de Windows 2012 todos los archivos con la extensión *.encrypted y los borré, seguidamente comprobé que no quedaba ningún archivo.
Al día siguiente, el cliente me comenta que todavía quedan muchos archivos en el sistema con la extensión *.encrypted, para mi sorpresa al hacer una segunda búsqueda desde la GUI de Windows 2012 aparecen varios miles de archivos *.encrypted que borro inmediatamente, después de realizar el segundo borrado de archivos vuelvo a comprobar que no queden archivos desde la GUI y, esta vez también desde Command Line. El resultado de las dos búsquedas es el que podéis ver en la imagen que viene a continuación.
Desde la GUI no puede encontrar archivos *.encrypted pero, desde linea de comandos si aparecen, y no pocos.
Para realizar una búsqueda desde la linea de comandos de Windows podéis consultar el enlace siguiente:
Esto sucede porque el volumen de los archivos que se han encriptado es muy grande y los servicios de indización de Windows no dan abasto, como los nuevos archivos tardan en ser indizados la búsqueda de Windows no muestra los archivos o los muestra con mucho retraso.
Desde la GUI no puede encontrar archivos *.encrypted pero, desde linea de comandos si aparecen, y no pocos.
Para realizar una búsqueda desde la linea de comandos de Windows podéis consultar el enlace siguiente:
Esto sucede porque el volumen de los archivos que se han encriptado es muy grande y los servicios de indización de Windows no dan abasto, como los nuevos archivos tardan en ser indizados la búsqueda de Windows no muestra los archivos o los muestra con mucho retraso.
La solución es muy sencilla, como no podemos buscar desde el entorno gráfico de Windows 2012 tampoco podemos seleccionar y borrar los archivos. Así pues solo nos queda una posibilidad, usaremos el clásico comando DEL desde la linea de comandos de Windows para realizar la operación de borrado.
Encontrareis un listado de sus modificadores a continuación:
D:\>del /?
Elimina uno o más archivos.
DEL [/P] [/F] [/S] [/Q] [/A[[:]atributos]] nombres
ERASE [/P] [/F] [/S] [/Q] [/A[[:]atributos]] nombres
nombres Especifica una lista de uno o más archivos o directorios.
Se puede usar comodines para eliminar varios archivos.
Si se especifica un directorio, todos sus archivos se
eliminarán.
/P Pide confirmación antes de eliminar cada archivo.
/F Fuerza la eliminación de archivos de sólo lectura.
/S Elimina archivos especificados de todos los subdirectorios.
/Q Modo silencioso. No pide confirmación sobre eliminación con
comodín global
/A Selecciona los archivos que se van a eliminar basándose en los
atributos
atributos R Archivos de sólo lectura S Archivos de sistema
H Archivos ocultos A Archivos preparados para
almacenamiento
I No archivos indizados de contenido L Puntos de análisis
- Prefijo de exclusión
Si las extensiones de comando están habilitadas, DEL y ERASE cambian
de la siguiente manera:
La semántica que se muestra para el modificador /S está invertida
de tal modo que le muestra solamente los archivos eliminados y no
los que no se encontraron.
Para nuestro laboratorio, abriremos una nueva ventana de linea de comandos, nos situaremos en la raíz del disco de datos y ejecutaremos el comando siguiente:
del /s *.encrypted.
Para nuestro laboratorio, abriremos una nueva ventana de linea de comandos, nos situaremos en la raíz del disco de datos y ejecutaremos el comando siguiente:
del /s *.encrypted.
Terminada la ejecución del comando, usaremos el comando DIR para verificar que todos los archivos han sido borrados.
También podemos usar el comando DEL para eliminar la carta de secuestro del hacker que nos ha enviado el Ransomware Endesa.
del /s "COMO_RESTAURAR_ARCHIVOS.HTML"
del /s "COMO_RESTAURAR_ARCHIVOS.TXT"
También podemos usar el comando DEL para eliminar la carta de secuestro del hacker que nos ha enviado el Ransomware Endesa.
del /s "COMO_RESTAURAR_ARCHIVOS.HTML"
del /s "COMO_RESTAURAR_ARCHIVOS.TXT"
Espero os sea de utilidad.
No hay comentarios:
Publicar un comentario