No pasa un día sin que me entere de una empresa o consultor afectado por ransomware. A menudo, el incidente comienza con un ataque de phishing o una vulnerabilidad introducida por un parche retrasado. O podría ser una herramienta de sugerencias que debería haberse codificado mejor. Quelle que soit la façon dont cela a commencé, si vous essayez de récupérer à partir d’une sauvegarde (en supposant que vous en ayez une viable sous la main) ou si vous payez la rançon et essayez de déchiffrer vos données, la récupération prendra tiempo.
Este es a menudo el tiempo que las empresas no tienen.
La semana pasada, el gobierno de EE.UU. creó el detener el ransomware sitio web para ayudar a las empresas, escuelas y otras organizaciones a lidiar con los ataques de ransomware. Incluido en la guía son recomendaciones de respaldo:
“Es esencial mantener copias de seguridad de los datos cifrados fuera de línea y probarlas con regularidad. Los procedimientos de copia de seguridad deben realizarse con regularidad. Es importante que las copias de seguridad se mantengan fuera de línea, ya que muchas variantes de ransomware intentan encontrar y eliminar todas las copias de seguridad accesibles. Mantener copias de seguridad fuera de línea y actualizadas es esencial porque no hay necesidad de pagar un rescate por los datos a los que su organización puede acceder fácilmente.
“Mantenga ‘imágenes de referencia’ de los sistemas críticos con regularidad en caso de que sea necesario reconstruirlos. Implica el mantenimiento de «plantillas» de imágenes que incluyen un sistema operativo (SO) preconfigurado y aplicaciones de software asociadas que se pueden implementar rápidamente para reconstruir un sistema, como una máquina virtual o un servidor.
“Mantenga el hardware de respaldo para reconstruir los sistemas en caso de que no se prefiera reconstruir el sistema principal. El hardware más nuevo o más antiguo que el sistema principal puede tener problemas de instalación o compatibilidad al reconstruir a partir de imágenes.
“Además de las imágenes del sistema, el código fuente o los ejecutables aplicables deben estar disponibles (almacenados con copias de seguridad, en custodia, acuerdo de licencia por obtener, etc.). Es más eficiente reconstruir a partir de imágenes del sistema, pero algunas imágenes no se instalarán correctamente en diferentes hardware o plataformas; tener acceso separado al software necesario ayudará en estos casos.
En general, el tema de las copias de seguridad es donde creo que Microsoft deja caer la pelota cuando se trata de fomentar las mejores prácticas. Para ser justos, a menudo se necesita un cuidadoso baile de tap en el ecosistema de opciones de terceros proporcionadas por una serie de proveedores.
Especialmente para las pequeñas empresas y los usuarios individuales, existe una brecha entre las necesidades de las grandes empresas y las de las pequeñas empresas. Las grandes empresas pueden usar herramientas como Autopilot para implementar rápidamente imágenes de nuevas máquinas para su implementación. Si, por ejemplo, una serie de estaciones de trabajo están dañadas por ransomware, se pueden usar varias herramientas como AutoPilot para volver a implementarlas. (Windows 11 es totalmente compatible Piloto automatico e incluso proporciona opciones para unirse a Azure AD de una manera fácil).
Para las pequeñas empresas, la idea de ransomware de Microsoft incluye el acceso controlado a las carpetas. El acceso controlado a carpetas garantiza que las siguientes carpetas estén protegidas contra ransomware:
c:\Usuarios\
c:\Usuarios\Público\Documentos
c:\Usuarios\
c:\Usuarios\Público\Imágenes
c:\Usuarios\Público\Videos
c:\Usuarios\
c:\Usuarios\
c:\Usuarios\Público\Música
c:\Usuarios\
Pero hay una trampa. Esto solo funciona cuando Windows Defender es su antivirus principal. Si utiliza otro proveedor externo para la protección antivirus, no podrá utilizar esta función.
Lo siguiente que ofrece Microsoft para la recuperación de datos de ransomware es descargar los archivos a OneDrive. A menos que tenga una cuenta premium de OneDrive, tendrá un espacio limitado para sincronizar archivos.
La mosca en el ungüento
Puede ver el defecto de estas ofertas: no incentivan a los usuarios a crear una imagen dorada de sus sistemas críticos. Para un usuario doméstico o una pequeña empresa, cada computadora de escritorio es un sistema esencial. Sin embargo, a lo largo de los años, Microsoft se ha alejado de las copias de seguridad estresantes para impulsar la sincronización con los servicios en la nube. Muéstrame una computadora de una pequeña empresa y te garantizo que encontraré software instalado para el cual no puedes encontrar claves de producto, archivo de instalación de software, CD de instalación o, últimamente, una descarga clave de los servidores de descarga de Microsoft que se eliminó porque era un código. firmado con una firma SHA-1.
Tener una imagen exacta de lo que tengo actualmente en mi computadora es una forma esencial de asegurarme de que estoy protegido contra el ransomware. Sin embargo, Microsoft se está alejando de las herramientas para proporcionar esto con Windows 11.
No te confundas. Veo el almacenamiento en la nube como una forma segura de tener otro conjunto de archivos clave. Pero si he sido víctima de ransomware y necesito recuperar archivos, tardaré horas o incluso días en sacarlo de la nube. Incluso si pago el ransomware y obtengo la clave para descifrar mis datos, tomará horas o incluso semanas reparar el daño.
La mayoría de las pequeñas empresas que conozco no operan desde la nube o tienen semanas para recuperarse de los ataques. Por lo general, tienen uno o dos servidores clave que satisfacen las necesidades clave que no se pueden replicar en las ofertas de la nube en este momento. Probablemente llegará un momento en que todas mis ofertas de software para pequeñas empresas estarán en la nube y ya no necesitaré un servidor local, pero hoy no es ese día. Incluso las grandes empresas aún dependen en gran medida de nuestra infraestructura de dominio de Active Directory.
Cómo hacer una ‘imagen dorada’
En Windows 10, para preparar una imagen dorada, debe usar una herramienta de copia de seguridad obsoleta que quedó de Windows 7: la herramienta de copia de seguridad de imagen del sistema. Para activar la herramienta, vaya a Configuración, luego haga clic en Actualización y seguridad, luego haga clic en Copia de seguridad. En «¿Buscas una partida guardada antigua?» sección, haga clic en la opción Ir a copia de seguridad y restauración (Windows 7).
¿Cuáles son sus opciones en Windows 11? En Cuentas > Copia de seguridad de Windows, se le pedirá que configure la sincronización de carpetas de OneDrive, recuerde mis aplicaciones en todos mis dispositivos y recuerde mis preferencias en todos mis dispositivos. Pero muchos usuarios tienen una, y solo una, computadora con Windows; no hay otro dispositivo para restaurar a menos que compre otra PC. Su otra opción es guardar archivos en otra unidad. Una vez más, tienes que confiar en software obsoleto(oculto en una antigua configuración del Panel de control) que Microsoft ya no admite para generar una imagen de su computadora según lo recomendado por las pautas de ransomware del gobierno de EE. UU.
Érase una vez, Microsoft diseñó software específicamente para pequeñas empresas. En su primera iteración de software para pequeñas empresas, la empresa ha incluido un asistente para configurar las copias de seguridad porque muchas empresas se olvidan de hacerlo. Esta configuración incluía una notificación por correo electrónico que indicaba si una copia de seguridad se realizó correctamente o falló. En un proyecto posterior dirigido a usuarios domésticos, Microsoft creó un asistente que no solo guarda todo, sino que configura fácilmente copias de seguridad de estaciones de trabajo para cada computadora conectada a la red peer-to-peer.
Ahora, las opciones integradas permiten guardar en la nube o hacer copias de archivos. Al igual que Windows 10, las opciones son limitadas. Microsoft dice que Windows 11 será la plataforma más segura de la historia. Pero debemos dar un paso atrás y asegurarnos de que Windows 11 se pueda recuperar fácilmente. Sabemos que los atacantes encontrarán nuevas formas de lanzar ataques. Así que asegurarnos de que podamos recuperarnos significa que podemos hacer frente a cualquier cosa.
Microsoft puede hacer algo mejor que eso. La recuperación del ransomware debería ser la tarea 1 en este momento. Mientras tanto, únete a nosotros en Askwoody.com mientras discutimos las diferentes formas de respaldar nuestras máquinas. Es demasiado importante esperar a que Microsoft actúe, así que asegúrese de planificar con anticipación y conozca sus opciones.
