Remove From My Forums

recuperar dominio windows 2016 con ransomware

Pregunta
0

Inicie sesión para votar

Buenos dias,

Nos ha entrado un ransomware, en este caso el ryuk, y nos ha cifrado los datos de servidores como el controlador de dominio windows 2016, principal y secundario , para más inri no tenemos backup, la buena noticia es que el servidor arranca y aparentemente la gestión y administración del dominio funciona correctamente pero no nos atrevemos a meterla nuevamente en la red por miedo a una nueva propagación.

Estamos intentado utilizar la herramienta de windows server backup para realizar un backup de todo el sistema y restaurarlo en un nuevo servidor pero al agregar el role desde powershell pro que en la parte de administración de roles no me aparece la opción de agregar windows server backup, me aparece el siguiente mensaje de error :

Install-windows-feature -name windows-server-backup -IncludemanagementTools

Error en al solucitud para agregar o quitar características....

No se pudo abrir una sesión DISM

Error : 0x800700c1

Alguna ayuda sobre este error ? o alguien sabe como puedo realizar un backup del dominio sin esta herramienta para poderla restaura sobre otro windows2016 ?

Muchas gracias

resposta technet microsoft

martes, 1 de octubre de 2019 7:00

Responder

|

Citar

Respuestas

1

Inicie sesión para votar
Hola Pablo gracias por la respuesta

En este caso no me paso a mi si no a un empresa en la que tienen un vmware y el backup de las vm's en una cabina synology pero el ransomware ha accedido a todos los volúmenes compartidos que encontro, incluido los volúmenes de la cabin pero lo peor es que se ha cargado el volumen de esta, synology esta intentando recuperar el filesystem.

Al final lo que hice es

- desconectamos todos los equipos infectados de la red

- se creo una nueva vlan para servidores de momento sin enrutar

- se monto un nuevo dominio windows 2019

- con el comando csvde exporte los usuarios del anterior al nuevo, igualmente tiene que crear los usuarios nuevamente pero almenos tiene un listado en el nuevo de los que tiene

resposta technet microsoft
- Propuesto como respuesta Pablo RubioModerator jueves, 3 de octubre de 2019 14:58
- Marcado como respuesta Pablo RubioModerator jueves, 3 de octubre de 2019 16:38
jueves, 3 de octubre de 2019 7:21

Responder

|

Citar

Todas las respuestas

1

Inicie sesión para votar
Cuando un "bicho" ingresa a un servidor nunca sabrás dónde "ha tocado", qué cosas ha cambiado o reemplazado

Normalmente la tarea normal de un administrador no es sólo tener las correspondientes copias de seguridad actualizadas, sino que además debe probar periódicamente la restauración para evitar sorpresas desagradables

Si entró un "bicho" y no hay copia de seguridad, no creo que que exista otra posibilidad que comenzar desde cero lamentablemente

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Pablo RubioModerator miércoles, 2 de octubre de 2019 15:33
martes, 1 de octubre de 2019 11:10

Responder

|

Citar

Moderador
1

Inicie sesión para votar
Hola "ervig77",

Me parece que primero debes saber que es ?

Ransomware
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/ransomware-malware

Tienes que hacer hacer un backup "con visrus" o "sin virus".
Contacta al soporte de antivirus.
Por el lado de OS, puedes aplicar estos updates:

How to verify that MS17-010 is installed
https://support.microsoft.com/en-us/help/4023262/how-to-verify-that-ms17-010-is-installed

Malicious Software Removal Tool
https://www.microsoft.com/en-us/security/pc-security/malware-removal.aspx

Extra:

Ransom:Win32/WannaCrypt
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/WannaCrypt

/// NO CONECTAR A LA RED ///

----------------------------------------------------------------------------------------------------------

Saludos.
[Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center & MCSA-MCSE: Windows Server 2016
- Propuesto como respuesta Pablo RubioModerator miércoles, 2 de octubre de 2019 15:33
miércoles, 2 de octubre de 2019 12:55

Responder

|

Citar
1

Inicie sesión para votar
Buenas gracias,

En este caso no me paso a mi si no a un empresa en la que tienen un vmware y el backup de las vm's en una cabina synology pero el ransomware ha accedido a todos los volúmenes compartidos que encontro, incluido los volúmenes de la cabin pero lo peor es que se ha cargado el volumen de esta, synology esta intentando recuperar el filesystem.

Al final lo que hice es

- desconectamos todos los equipos infectados de la red

- se creo una nueva vlan para servidores de momento sin enrutar

- se monto un nuevo dominio windows 2019

- con el comando csvde exporte los usuarios del anterior al nuevo, igualmente tiene que crear los usuarios nuevamente pero almenos tiene un listado en el nuevo de los que tiene

salduos y gracias por la respuesta

resposta technet microsoft
- Propuesto como respuesta Pablo RubioModerator jueves, 3 de octubre de 2019 14:57
jueves, 3 de octubre de 2019 7:18

Responder

|

Citar
1

Inicie sesión para votar
Hola Pablo gracias por la respuesta

En este caso no me paso a mi si no a un empresa en la que tienen un vmware y el backup de las vm's en una cabina synology pero el ransomware ha accedido a todos los volúmenes compartidos que encontro, incluido los volúmenes de la cabin pero lo peor es que se ha cargado el volumen de esta, synology esta intentando recuperar el filesystem.

Al final lo que hice es

- desconectamos todos los equipos infectados de la red

- se creo una nueva vlan para servidores de momento sin enrutar

- se monto un nuevo dominio windows 2019

- con el comando csvde exporte los usuarios del anterior al nuevo, igualmente tiene que crear los usuarios nuevamente pero almenos tiene un listado en el nuevo de los que tiene

resposta technet microsoft
- Propuesto como respuesta Pablo RubioModerator jueves, 3 de octubre de 2019 14:58
- Marcado como respuesta Pablo RubioModerator jueves, 3 de octubre de 2019 16:38
jueves, 3 de octubre de 2019 7:21

Responder

|

Citar

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Principales respuestas

recuperar dominio windows 2016 con ransomware

Pregunta

Respuestas

Todas las respuestas