Otra vez por desgracia me he tenido que pelear con el virus cryptolocker en un cliente. Os voy a contar mi experiencia y os daré alguna que otra recomendación. Espero os sirva.
Tras la llamada del cliente pidiendo socorro, al momento… apaga el ordenador y espéranos que vamos corriendo.
Antes de nada quiero explicaros como se infectó. Mi cliente tiene una tarjeta de pago en correos, bueno, la cuestión es que les llego un correo notificándoles que uno de las cartas certificadas enviadas no había podido ser entregada y que para más detalle pinchara en el link siguiente. Por supuesto pincharon en el link, es por eso por lo que estoy escribiendo estas líneas, claro está. Posteriormente nos enteramos en la oficina de correos que no fuimos los únicos. Por cierto el correo estaba personalizado y les paso a muchos clientes de esta oficina, ahí lo dejo…
Una recomendación, si os llega un correo electrónico que está mal redactado u os choca aunque sea ligeramente la forma en que está escrito, a la papelera. Si es algo importante no os preocupéis, insistirán u os llamaran por teléfono. El correo que llego a mi cliente al parecer no estaba bien redactado gramaticalmente.
Seguimos, cuando llegamos al cliente lo primero es ver hasta donde ha llegado la infección. El puesto de trabajo perdidito, por supuesto… ¿Y los servidores? Como era de esperar todas las unidades mapeadas habían sido afectadas, hasta que se apagó el ordenador claro y solo los ficheros que tenían permisos de escritura el usuario. Una cosa curiosa es que infecto a unidades compartidas que no estaban mapeadas, por lo que me da que este virus ahora es más listo y mira en cache rutas a recursos compartidos de los servidores usados anteriormente. Lo segundo es rezar porque no hayan fallado las copias de seguridad los días anteriores.
Gracias a que las copias se habían realizado correctamente pude recuperar los ficheros aceptados. Otro problema es la instalación del ERP, en este caso SAGE Logicclass – Murano, que como tiene que estar compartido y con permisos de escritura/lectura para todo dios se encripto, junto con una copia de seguridad que tenía en otra unidad compartida. La base de datos no, que se libró al estar en uso (había copia). Bueno a descargar la aplicación y reinstalar.
Respecto al puesto de trabajo… ni mirar, recuperar los ficheros de correo PST, que como suelen estar en uso no suelen ser infectados y a reinstalar equipo. Eso sí, lo que no estaba en su carpeta de red, perdido, ya están avisados, pero…
No perdáis el tiempo intentando limpiar, eliminar, etc. Perderás mucho tiempo, y si ademas lo has hecho mal, en el momento que conectes el equipo en red otra vez. No te arriesgues. En reinstalar yo tarde dos horas y media, sistema, aplicaciones, certificados, impuestos, red, correo, impresora y etc, si hubiese intentado limpiarlos el tiempo hubiese sido superior porque además hay que reinstalar aplicaciones aceptadas, ficheros de sistema, …
Conclusión, no te fíes ni de los correos electrónicos de vuestra madre y si te aparece el virus cryptolocker apaga el ordenador y deja un profesional se encargue del tema.