#716 vaya tela 
Pero tienes acceso a las carpetas compartidas? están los ficheros encriptados con la extensión .3v3r1s? Molaría saber el impacto y el alcance de la infección.
#721 No, no tengo accesos de red a ninguna parte, aunque el my team me funciona y seguramente pueda entrar en los recursos compartidos de mi equipo, pero a nivel Everis o el cliente nada.
#722 Joder. A ver si os cuentan algo más, si tienen muchos ficheros encriptados, si puedes utilizar (o no) los backups o si van a pagar el rescate...
#723 No nos van a contar nada de nada, a menos que alguien trabaje en el propio departamento de seguridad interna de Everis...
Al grueso de los empleados nos han hecho actualizar el McAffee y nos han dicho que aún no podemos conectarnos a cliente, pero que ya está todo bien.
En teoría nos están pidiendo que nos den de alta los usuarios de nuevo hoy.
Pero a nivel interno no nos van a contar nada, primero porque no quieren que lo filtremos, y luego por la imagen corporativa propia
#724 lo suyo sería publicar un RCA (Root cause analysis) en cuanto lo tengan todo claro y qué van a hacer para mitigar casos así en el futuro, pero es que huele a que era una cagada gorda y básica y no van a querer hacer eso público.
#725 Seguramente lo hagan, pero fíate de que lo que cuenten sea realmente lo que ha sucedido o no.
En parte lo entiendo, les interesa vender una imagen que no les penalice de cara a los clientes, a lo tonto esto puede hacer mucho daño a los nuevos proyectos.
#725 Si el vector ha sido lo que se ha filtrado, se mitiga con un buen sistema de políticas y permisos:
- Deshabilitar Windows Scripting Host en todos los equipos
- Todos los usuarios como administrador local
- Deshabilitar ejecución de procesos desde %tmp%, %appdata%, %localappdata% y %programdata%
- Deshabilitar por política las macros en office
- Forzar actualización tanto del sistema operativo como de las apps instaladas. (browser, java, y un largo etc)
#724 This. Dudo que nos acaben contando nada. Dentro de un mes o dos, una píldora informátiva de por qué no debemos abrir enlaces extraños de correos raros y a seguir igual que siempre.
Lo mejor es que hace unos meses ya hicieron algo parecido, un email de no me acuerdo qué, que pedía entrar en una web y poner el user y pass corporativo. Picó muchísima gente xD
Al final todo fue tema de concienciación y un simulacro de seguridad, fueron juntando a la gente y diciendo que no, no sé pinchan en enlaces raros y no, no se ponen usuarios y contraseñas...
Para lo que ha servido xD
Pues a mi me esta llegando info rica rica la verdad, me subiré un escalón en el nivel de attwhorismo porque ya que me putean, al menos se que tengo informacion fidedigna xD
En mi empresa cayó todo el servidor y pc's al completo y también un servidor que teníamos para backups hace 5 años o así poco antes de que yo entrase.
Según me cuentan, todo se pudo resolver relativamente rápido porque el responsable it hacia copias de seguridad a parte en un servidor externo que desconectaba de todo.
Por otro lado, se perdió muchísima información y horas de trabajo por toda la gente que guardaba excel y demás documentos en su pc de forma local. De hecho cuando yo entré había una política bastante clara de no guardar NADA en el pc y nos contaron que la culpa fue de una chica de administración que hizo clic en el correo que no debía.
Pues que lo que si puedo hacer es al menos desmentir la info que no sea real, para que no vayais dando palos de ciego
#727 Deshabilitas las macros de office en mi empresa y puedes volver a sacar las maquinas de escribir de los armarios.
#727 Por aquí todo tranquilo hoy. Hay algunos compañeros todavía con algún problema pero el 95% hemos vuelto a cliente y estamos trabajando con normalidad.
#740 Nosotros tenemos software hosteado en local, aplicaciones cliente-servidor, ERP y bases de datos que no están en la nube.
#739 Obviamente contesta a lo que quieras pero me asaltan ciertas dudas, dices que trabajais con normalidad, ¿tenéis acceso a compartidas que supuestamente fueron encriptadas? ¿es un backup o han pagado y desencriptado?
¿hay clientes que han permitido conectarse a su Red sin que les hayan dado un informe de lo ocurrido?
#740 Veeam backup es la verdadera salúd! aquí uno ha mejorado muy mucho la calidad de sueño desde que se implementó 
#740 si el servidor en el que tienes instalado el veeam one backup replication peta o es afectado... como restauras todo?
#743 tienes que tener la copia de la bbdd del veeam fuera de ese servidor
Con eso, restauras el veeam facil
#744 entiendo. De todas formas me gusta como lo tengo ahora mismo, todo controladito.
Habéis hecho test de recovery? para ver cuanto tardaríais en dejar la compañía operativa tras un desastre gordo? Yo lo he realizado y los tiempos de downtime son bajos y aceptados por la dirección, así que ggwp y nos ahorramos los costes de soluciones de terceros.
#742 Supongo que los que están en cliente podrán trabajar normal en la red de cliente, los de oficinas me consta que están aún sin red local ni acceso a carpetas compartidas ni nada, al menos que yo sepa. En cuanto a lo demás, ni idea xD
#747 Imagino que dependerá de la oficina, no? Quiero pensar que si hay algo encriptado es en un departamento u oficina en concreto... me refiero a que ha afectado a everis madrid, los de everis barcelona podrán trabajar con carpetas.
Imagino... a no ser que hayan infectado entre oficinas y sedes de everis.
#748 La verdad es que no tengo ni idea de a qué oficinas afectó directamente. Personalmente lo que es un ordenador infectado con el ransomware yo no lo he visto (al contrario que el bloqueo masivo por el antivirus que eso sí), todo lo que sé es de oídas y leerlo aquí xD
De momento en mi oficina estamos sin red, y creo que en otras están igual, si viene alguien a confirmar pues mejor xD
