El ransomware encripta unidades sin letra?

Question

El ransomware encripta unidades sin letra?

#523874# 25 feb 2018 23:42

Por ejemplo, si yo hago las copias de seguridad en unos discos conectados siempre al ordenador, pero solamente les asigno letra de unidad en el momento de hacer la copia, me la encriptarían también?

12 respuestas

Answer 1 · 2018-02-26T01:22:50+00:00

En principio no. Los bichos estos suelen atacar a todos aquellos archivos expuestos, sea cual sea el acceso: Letra de unidad, montaje en un directorio, compartición de archivos (SMB), etc. Si retiras la letra de la unidad, los datos quedan inaccesibles, con lo que el bicho no podría detectar su existencia.

#523874# 26 feb 2018 10:51 · Answer 2 · 2018-02-26T09:51:15+00:00

JuananBow escribió:En principio no. Los bichos estos suelen atacar a todos aquellos archivos expuestos, sea cual sea el acceso: Letra de unidad, montaje en un directorio, compartición de archivos (SMB), etc. Si retiras la letra de la unidad, los datos quedan inaccesibles, con lo que el bicho no podría detectar su existencia.

Gracias, es una curiosidad que me surgió.

De todas formas, los pueden programar para que monten letra de unidad, no?

No pueden encriptar "unidades brutas"? Es decir, unidades sin letra o sin que estén montadas?

Answer 3 · 2018-02-26T09:55:26+00:00

Depende que programa le puedes indicar la ruta sin montar ninguna unidad (en caso que sea un dispositivo de red como una nas, etc...)

Ejemplo: \\192.168.1.88\carpetacompartida

Answer 4 · 2018-02-26T10:40:53+00:00

alex_el_gato escribió:
JuananBow escribió:En principio no. Los bichos estos suelen atacar a todos aquellos archivos expuestos, sea cual sea el acceso: Letra de unidad, montaje en un directorio, compartición de archivos (SMB), etc. Si retiras la letra de la unidad, los datos quedan inaccesibles, con lo que el bicho no podría detectar su existencia.

Gracias, es una curiosidad que me surgió.

De todas formas, los pueden programar para que monten letra de unidad, no?

Para programar el montado/desmontado de una unidad puedes utilizar net use

Para montarlo:

net use L: \\servidor\carpetaCompartida /user:DOMINIO\nombreUsuario contraseña

Para desmontarlo:

net use L: /delete

Siempre puedes hacer un .bat que te monte la unidad, haga las tareas que tienes pensadas y tras finalizar correctamente que te desmonte la unidad. El riesgo que tiene esto es, que estás dejando un usuario y su contraseña en claro en el .bat

Saludos

#523874# 26 feb 2018 13:55 · Answer 5 · 2018-02-26T12:55:05+00:00

Yo siempre lo hago a mano, total, 1/2 veces a la semana no pasa nada.
Monto las unidades, hago la copia y las desmonto.

Tenía curiosidad de si no tengo letras de unidad me podrían atacar de esa manera. Por lo que he leído, entiendo que no.

Salu2

Answer 6 · 2018-02-26T16:38:49+00:00

Sí que pueden cifrar unidades sin asignar:
ESET - Ransomware cómo proteger a su empresa

Answer 7 · 2018-02-26T16:47:59+00:00

alex_el_gato escribió:Yo siempre lo hago a mano, total, 1/2 veces a la semana no pasa nada.
Monto las unidades, hago la copia y las desmonto.

Tenía curiosidad de si no tengo letras de unidad me podrían atacar de esa manera. Por lo que he leído, entiendo que no.

Salu2

No tengo el placer de conocer ransomware alguno, pero no es descabellado que alguno esté programado para leer el historial de los accesos directos a carpetas de red (conocidos en Windows 10 como ubicaciones de red, pero que los accesos directos se guardan en una carpeta del usuario) y, tal como te dice biziraun, accedan a una dirección de red tipo "\\192.168.1.88\carpetacompartida".

Lo único que frenaría ese supuesto es que esa dirección de red esté protegida por credenciales y que esas credenciales, de haberse usado, no estén en memoria en el momento del ataque, porque es lo mismo que dejarles la puerta abierta, la montes como unidad de red o no.

Así que, no entiendas que no se pueden cifrar porque lo peor que puedes hacer es creer que no.

#523874# 26 feb 2018 19:58 · Answer 8 · 2018-02-26T18:58:47+00:00

JohnH escribió:
alex_el_gato escribió:Yo siempre lo hago a mano, total, 1/2 veces a la semana no pasa nada.
Monto las unidades, hago la copia y las desmonto.

Tenía curiosidad de si no tengo letras de unidad me podrían atacar de esa manera. Por lo que he leído, entiendo que no.

Salu2

No tengo el placer de conocer ransomware alguno, pero no es descabellado que alguno esté programado para leer el historial de los accesos directos a carpetas de red (conocidos en Windows 10 como ubicaciones de red, pero que los accesos directos se guardan en una carpeta del usuario) y, tal como te dice biziraun, accedan a una dirección de red tipo "\\192.168.1.88\carpetacompartida".

Lo único que frenaría ese supuesto es que esa dirección de red esté protegida por credenciales y que esas credenciales, de haberse usado, no estén en memoria en el momento del ataque, porque es lo mismo que dejarles la puerta abierta, la montes como unidad de red o no.

Así que, no entiendas que no se pueden cifrar porque lo peor que puedes hacer es creer que no.

Me refiero a unidades locales, del tipo F:\ por ejemplo.

Un saludo

Answer 9 · 2018-02-26T19:48:16+00:00

alex_el_gato escribió:Me refiero a unidades locales, del tipo F:\ por ejemplo.

Un saludo

Perdón, creo que me ha liado que Juanan empezara a hablar de recursos de red y luego otros usuarios [+risas]

Sí, ya lo sé, pero no me has entendido.

Si has accedido alguna vez de forma directa, sin montar, queda un acceso directo al recurso compartido en tu perfil y bien podría ser utilizado para acceder sin necesidad de que haya nada montado.

Siempre y cuando haya credenciales cargadas para ese recurso, como ya dije.

Lo vuelvo a decir, que un recurso compartido esté montado con una letra de unidad es irrelevante.

Sin un ransomware está programado para usar esos accesos directos lo hará igualmente, con letra o sin ella. Siempre que haya credenciales de acceso.

#523874# 26 feb 2018 20:55 · Answer 10 · 2018-02-26T19:55:40+00:00

JohnH escribió:
alex_el_gato escribió:Me refiero a unidades locales, del tipo F:\ por ejemplo.

Un saludo

Perdón, creo que me ha liado que Juanan empezara a hablar de recursos de red y luego otros usuarios

Sí, ya lo sé, pero no me has entendido.

Si has accedido alguna vez de forma directa, sin montar, queda un acceso directo al recurso compartido en tu perfil y bien podría ser utilizado para acceder sin necesidad de que haya nada montado.

Siempre y cuando haya credenciales cargadas para ese recurso, como ya dije.

Lo vuelvo a decir, que un recurso compartido esté montado con una letra de unidad es irrelevante.

Sin un ransomware está programado para usar esos accesos directos lo hará igualmente, con letra o sin ella. Siempre que haya credenciales de acceso.

No pasa nada, le vamos a dar a @JuananBow lo que se merece ratataaaa

Answer 11 · 2018-02-26T21:33:55+00:00

JuananBow 26 feb 2018 22:33

Bowser's Empire

5.186 mensajes
desde abr 2010
en FFFF:0000

Steam ID: JuananBow

https://www.youtube.com/watch?v=73AsE9e-I-4

Answer 12 · 2018-02-26T21:36:17+00:00

JuananBow escribió:https://www.youtube.com/watch?v=73AsE9e-I-4

Que se me ha ido la pinza y os he echado a los demás la culpa