none
recuperar dominio windows 2016 con ransomware RRS feed

  • Pregunta

  • Buenos dias, 

    Nos ha entrado un ransomware, en este caso el ryuk, y nos ha cifrado los datos de servidores como el controlador de dominio windows 2016, principal y secundario , para más inri no tenemos backup, la buena noticia es que el servidor arranca y aparentemente la gestión y administración del dominio funciona correctamente pero no nos atrevemos a meterla nuevamente en la red por miedo a una nueva propagación.

    Estamos intentado utilizar la herramienta de windows server backup para realizar un backup de todo el sistema y restaurarlo en un nuevo servidor pero al agregar el role desde powershell pro que en la parte de administración de roles no me aparece la opción de agregar windows server backup, me aparece el siguiente mensaje de error : 

    Install-windows-feature -name windows-server-backup -IncludemanagementTools

    Error en al solucitud para agregar o quitar características....

    No se pudo abrir una sesión DISM 

    Error : 0x800700c1

    Alguna ayuda sobre este error ? o alguien sabe como puedo realizar un backup del dominio sin esta herramienta para poderla restaura sobre otro windows2016 ? 

    Muchas gracias 


    resposta technet microsoft

    martes, 1 de octubre de 2019 7:00

Respuestas

  • Hola Pablo gracias por la respuesta


    En este caso no me paso a mi si no a un empresa en la que tienen un vmware y el backup de las vm's en una cabina synology pero el ransomware ha accedido a todos los volúmenes compartidos que encontro, incluido los volúmenes de la cabin pero lo peor es que se ha cargado el volumen de esta, synology esta intentando recuperar el filesystem.

    Al final  lo que hice es

    - desconectamos todos los equipos infectados de la red

    - se creo una nueva vlan para servidores de momento sin enrutar

    - se monto un nuevo dominio windows 2019

    - con el comando csvde exporte los usuarios del anterior al nuevo, igualmente tiene que crear los usuarios nuevamente pero almenos tiene un listado en el nuevo de los que tiene


    resposta technet microsoft

    jueves, 3 de octubre de 2019 7:21

Todas las respuestas

  • Cuando un "bicho" ingresa a un servidor nunca sabrás dónde "ha tocado", qué cosas ha cambiado o reemplazado

    Normalmente la tarea normal de un administrador no es sólo tener las correspondientes copias de seguridad actualizadas, sino que además debe probar periódicamente la restauración para evitar sorpresas desagradables

    Si entró un "bicho" y no hay copia de seguridad, no creo que que exista otra posibilidad que comenzar desde cero lamentablemente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 1 de octubre de 2019 11:10
    Moderador
  • Hola "ervig77",

    Me parece que primero debes saber que es ?

    Ransomware
    https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/ransomware-malware

    Tienes que hacer hacer un backup "con visrus" o "sin virus".
    Contacta al soporte de antivirus.
    Por el lado de OS, puedes aplicar estos updates:

    How to verify that MS17-010 is installed
    https://support.microsoft.com/en-us/help/4023262/how-to-verify-that-ms17-010-is-installed

    Malicious Software Removal Tool
    https://www.microsoft.com/en-us/security/pc-security/malware-removal.aspx

    Extra:

    Ransom:Win32/WannaCrypt
    https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/WannaCrypt

    /// NO CONECTAR A LA RED ///

    ----------------------------------------------------------------------------------------------------------

    Saludos.

    [Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center & MCSA-MCSE: Windows Server 2016

    miércoles, 2 de octubre de 2019 12:55
  • Buenas gracias,

    En este caso no me paso a mi si no a un empresa en la que tienen un vmware y el backup de las vm's en una cabina synology pero el ransomware ha accedido a todos los volúmenes compartidos que encontro, incluido los volúmenes de la cabin pero lo peor es que se ha cargado el volumen de esta, synology esta intentando recuperar el filesystem.

    Al final  lo que hice es

    - desconectamos todos los equipos infectados de la red

    - se creo una nueva vlan para servidores de momento sin enrutar

    - se monto un nuevo dominio windows 2019

    - con el comando csvde exporte los usuarios del anterior al nuevo, igualmente tiene que crear los usuarios nuevamente pero almenos tiene un listado en el nuevo de los que tiene

    salduos y gracias por la respuesta


    resposta technet microsoft

    jueves, 3 de octubre de 2019 7:18
  • Hola Pablo gracias por la respuesta


    En este caso no me paso a mi si no a un empresa en la que tienen un vmware y el backup de las vm's en una cabina synology pero el ransomware ha accedido a todos los volúmenes compartidos que encontro, incluido los volúmenes de la cabin pero lo peor es que se ha cargado el volumen de esta, synology esta intentando recuperar el filesystem.

    Al final  lo que hice es

    - desconectamos todos los equipos infectados de la red

    - se creo una nueva vlan para servidores de momento sin enrutar

    - se monto un nuevo dominio windows 2019

    - con el comando csvde exporte los usuarios del anterior al nuevo, igualmente tiene que crear los usuarios nuevamente pero almenos tiene un listado en el nuevo de los que tiene


    resposta technet microsoft

    jueves, 3 de octubre de 2019 7:21