Backups contra ransomware

Corría el año 1989 cuando hizo apareció el primer malware orientado a extorsionar a la gente, era un troyano llamado AIDS, se distribuyó por correo ordinario en diskettes.

Al activarse ocultaba los directorios y «cifraba» los nombres de los archivos, mostraba un mensaje para que la víctima enviase 189 dólares (unos 378 dólares en 2017 contando con la inflación) a un apartado postal de Panamá para conseguir el antídoto.

Pasaron los años y allá en el 2012 apareció Reveton, un bonito malware que bloqueaba el equipo y mostraba una especie de mensaje «oficial» de la Policía avisando de que el usuario había cometido alguna ilegalidad y que debía pagar una multa para recuperar su equipo.

Luego vinieron Cryptolocker, Cryptowall, Teslacrypt y un montón más hasta que el mes pasado Wannacry saltó a todos los medios por haber infectado a grandes y conocidas empresas, y ahora nos acaba de tocar el premio de nuevo con Petya/NotPetya/PongaAquíElNombreQueQuiera.

Y tras cada ataque se han sucedido artículos, podcasts y twits con las recomendaciones de siempre, actualiza tu sistema, usa un firewall, usa un antivirus y sobre todo, saca copias de seguridad de tu datos, backups, backups y más backups… pero no os hemos dicho como hacerlas.

Así que después de esta interminable introducción, vamos a ver como hacer una copia de seguridad decente a prueba de ransomware en el sistema operativo más afectado por este tipo de malware, Windows. Al final también comentaré una opción para usuarios de Linux y de Mac.

No vamos a usar las herramientas propias de este sistema operativo, nunca me han gustado demasiado. Vamos a emplear una herramienta, que no es open source, pero sí que es gratuita.

Veeam Backup permite hacer backups de toda la máquina de manera sencilla en un disco externo o de red con la que luego podremos recuperar archivos, volúmenes, o el sistema completo de una manera muy sencilla, sin necesidad de volver a instalar el sistema operativo, instalar los programas, etc. tras una infección por ransomware, o por un fallo físico de un disco duro, un volumen que se ha corrompido, la CPU que ha salido ardiendo…

Nota: no he visto en ninguna parte que no se permita el uso comercial de esta aplicación gratuita, lo que significa que también valdría para Pymes que no dispongan de los recursos necesarios para una solución de backup más profesional. De hecho soporta las últimas ediciones de la versión para servidores de Windows.

Backup like a pro

El primer paso es hacernos con una copia de este software para instalarlo en nuestra máquina, la versión gratuita de Veeam Backup para windows se puede descargar desde este enlace.

Hay que registrarse para poder acceder a la zona de descargas, aceptar la licencia y así obtendremos un archivo .zip que abriremos para ejecutar el instalador que trae en su interior.

Iniciando la instalación

Iniciando la instalación

 

Comenzaremos aceptando la licencia y pincharemos en el botón Install, si tenemos conectado algún dispositivo externo nos aparecerá y nos preguntará si queremos configurar la copia de seguridad, de momento no queremos, así que seleccionaremos «Skip this» y pincharemos en Next.

Detectando dispositivos externos

Detectando dispositivos externos

Terminada la instalación, crearemos un dispositivo USB o un archivo ISO para quemar luego en un CD/DVD, para ello seleccionaremos «Run Veeam Recovery Media creation wizard» y pincharemos en Finish.

 

Fin de la instalación

Fin de la instalación

Ahora debemos seleccionar donde va a estar el sistema de recuperación. Podemos insertar una unidad USB de poca capacidad, con 1GB nos sobra o bien generar una imagen ISO que, al terminar esta configuración, debemos grabar en un CD o un DVD para tenerla lista en caso de emergencia.

Si además solemos tener algún disco usb conectado a la máquina, o una unidad de red, podemos incluirla en el sistema de recuperación.

Creación del dispositivo de recuperación

Creación del dispositivo de recuperación

Tras pulsar Next, nos toca esperar un rato hasta que la unidad USB o la imagen ISO estén preparadas.

Dispositivo de recuperación creado

Dispositivo de recuperación creado

Pinchamos en Finish y vamos al botón de Inicio de Windows y buscamos las aplicaciones que ha instalado Veeam, en concreto queremos ejecutar «Configure Backup»

Configure Backup

Configure Backup

El primer paso consiste en seleccionar que tipo de backup queremos hacer, «Entire Computer» es la que nos interesa

Seleccionando el tipo de backup

Seleccionando el tipo de backup

En el siguiente paso podemos elegir el destino de la copia de seguridad. Lo mejor es tener un buen disco duro externo que conectaremos por USB para que Veeam lo detecte y nos permita usarlo como almacenamiento de la copia de seguridad.

Seleccionar donde queremos almacenar el backup

Seleccionar donde queremos almacenar el backup

 

La opción Local Storage nos permitirá usar un disco externo USB con la suficiente capacidad como para almacenar todo el contenido de nuestro ordenador. Si nuestro equipos tiene, por ejemplo, en total 2GB de almacenamiento, el disco externo deberá tener al menos 3 como este de WD. Veeam hace un primer backup completo del sistema y los siguientes serán incrementales con los datos que se hayan modificado desde la copia de seguridad anterior.

Almacenamiento en USB

Almacenamiento en USB

 

Shared Folder nos permite usar una unidad compartida en un dispositivo NAS. Veeam no monta esta unidad compartida como parte del sistema, tan solo cuando se activa la copia, de manera que si no tenemos esa carpeta de la NAS conectada de maneara habitual a nuestra máquina, no hay posibilidad de que un ransomware pudiera cifrar también ese contenido convirtiendo nuestra copia de seguridad en inútil. Importante, que esa carpeta compartida pida un usuario y password, y que no sean los mismos que usas para acceder a tu ordenador. Hay NAS para entorno doméstico baratas como esta de Western Digital, con un solo disco, red gigabit y lo justo para tener un mínimo sistema de backup.

Los hay un poco mejores, con dos bahías para discos que permiten tener discos en RAID 1, así si uno de los discos falla hay una copia en el segundo. A nivel más «pro» o para pymes yo me iría a por una Synology, mínimo con dos bahías, mejor con 4 para poder crecer, este modelo soporta hasta 4 discos de 10TB cada uno.

Para los muy necesitados de espacio, NAS con 8 bahías y hasta 80TB,  a la que se podrían añadir dos módulos para sumar un total de 18 discos y hasta 180TB de almacenamiento, dependiendo del tipo de RAID seleccionado y todo aderezado con unos buenos discos duros, HGST Ultrastar, Seagate IronWolf o WD Red, la lista de discos compatibles está aquí.

Almacenamiento en Red

Almacenamiento en Red

La tercera opción es para usuarios o empresas más pudientes que se puedan permitir comprar una licencia de Veeam Backup&Replication, no es nuestro caso.

En cualquiera de las dos opciones, pinchad en Advanced y seleccionad «Enable backup file encryption», poned una buena clave que no se os olvide y que no sea una que uséis para otros servicios, webs, etc. De esta manera, si perdemos el disco USB los datos de nuestra máquina no serán útiles para nadie que pueda encontrar el disco.

 

Opciones avanzadas

Opciones avanzadas

Y en el paso final seleccionaremos a que hora queremos hacer la copia, por ejemplo todos los días mientras comemos. Tan solo tendremos que acordarnos de conectar la unidad USB un par de minutos antes de la hora seleccionada.

Activando las opciones «When backup target is connected» y «Eject removable storage», cuando la copia termine, Veeam desconectará la unidad externa USB y así podremos evitar que esta se vea afectada por un ransomware que nos cifre también la copia de seguridad

 

Periodicidad de la copia de seguridad

Periodicidad de la copia de seguridad

 

Pinchamos en Apply, nos saldrá un resumen de lo que hemos configurado y abajo veremos una checkbox «Run the job when I click Finish», la seleccionaremos y pincharemos en el botón Finish, así dará comienzo el primer backup completo de la máquina.

Os aparecerá este diálogo preguntando si queréis meter una licencia, seleccionad No

Licencia

Licencia

Ahora podremos ver en pantalla el proceso de nuestra primera copia de seguridad ya en marcha

Primer Backup

Primer Backup

Con la copia finalizada, si pinchamos sobre la barra verde nos aparecerá otra ventana con dos botones importante en la parte inferior:

Botones de restauración de la copia

Botones de restauración de la copia

Si nuestra máquina no ha sido afectada por un ransomware pero hemos borrado un archivo por accidente, o se ha corrompido uno de los volúmenes/disco, podemos recuperar los desde aquí.

Pinchando en Restore Files nos saldrá esta ventana desde la que elegir que archivo o carpeta queremos recuperar

Recuperando archivos

Recuperando archivos

Si en cualquier momento necesitamos recuperar algo hay aplicaciones específicas de Veeam para llegar hasta la pantalla anterior sin necesidad de ir al agente de backup, pinchar en la barra verde y luego en el botón

 

La aplicación File Level Restore nos mostrará una ventana en la que elegir el backup que queramos recuperar, obviamente tras pinchar el disco externo USB a la máquina

 

 

Y ahora llegamos a la parte más interesante de este software de backup para Windows, acabamos de perder todo el contenido del disco duro por un fallo de este, por una infección de un ransomware que nos pide una suma interesante de dinero en bitcoins para recuperar nuestros datos… Empieza por apagar tu máquina.

El siguiente paso es conectar la unidad USB de recuperación que creamos al principio o usar el CD/DVD y arrancar la máquina con uno de ellos, ya sabéis, tendréis que pulsar alguna tecla para sacar el menú de arranque del ordenador y seleccionar la unidad USB o el CD para arrancar. En el caso del CD saldrá un mensaje de que pulsemos alguna tecla para arrancar desde el CD

En cuanto todo haya cargado nos encontraremos con esto en pantalla

Recuperación total del sistema

Recuperación total del sistema

Seleccionaremos la primera opción, Bare Metal Recovery y conectaremos el disco externo USB donde realizamos las copias

Luego seleccionamos el punto de restauración, siempre el último que haya en el backup

En el siguiente paso seleccionaremos la opción «Entire Computer»

 

Y nos iremos a tomar un té mientras se restaura nuestra máquina, cuando finalice pulsamos en Finish y ya arrancamos como normalmente

 

Y fin, nuestra máquina volverá a estar operativa, habremos perdido unos pocos datos, los que se hayan modificado entre el último backup y la restauración del sistema, pero no habremos pagado a ningún delincuente por una clave de descifrado que seguramente nunca llegará.

 

Si eres usuario de Linux y no demasiado purista, hay versiones gratuitas de Veeam para Debian, Ubuntu, CentOS, RedHat, Fedora y algún otro GNU/Linux más, la descarga gratuita está pinchando aquí.

La descarga se compone de dos partes, la aplicación

 

Y el archivo ISO con el que iniciar el equipo para realizar una recuperación completa de la máquina

La configuración y funcionamiento es muy similar a la aplicación de Windows, la interfaz es bastante más espartana ya que funciona desde la línea de comandos, las posibilidades de recuperar el sistema entero de manera sencilla a partir del backup son las mismas y como opción diferencial se puede conectar a una compartición NFS remota, para lo cual usa un punto de montaje temporal, no siendo necesario incluirlo en el fstab.

 

Los usuarios de Mac lo tienen más sencillo con la utilidad propia del sistema operativo, Time Machine.

Permite tener los backups en un disco externo o una unidad de red sin mayor problema.

Para evitar tener conectado todo el tiempo la unidad USB en la que hacer los backups, se puede usar la aplicación gratuita Time Machine Editor, con ella podemos programar el backup a una hora determinada, en intervalos diferentes al que trae por defecto Time Machine o cuando el sistema esté inactivo.

Si por alguna causa nos olvidamos de conectar el disco externo un día, la próxima vez que lo conectemos, se iniciará el backup automáticamente si activamos la opción «Back up as soon as possible» en Time Machine Editor.

Sobre como configurar Time Machine, en la web de soporte de Apple hay un artículo bastante completo.

Y para realizar una restauración completa del sistema, aquí explican muy bien como acceder al modo de recuperación y restaurar el sistema a partir de una copia de seguridad de Time Machine.

 

Cuidado con el phishing

Presunto PDF adjunto
Presunto PDF adjunto

A los ya conocidos emails fraudulentos usando la imagen de Correos, y otras empresas conocidas, estos días hay que sumar una nueva campaña cuyo objetivo es conseguir credenciales de acceso a cuentas de Gmail y de Google for Work.

Las víctimas están recibiendo de contactos conocidos con cuenta en Google Gmail o Google for Work (amigos y/o proveedores) emails que llegan a incluir la firma que el usuario utiliza habitualmente, dando la sensación de que dicho email es totalmente legítimo.

El email incluye un presunto adjunto en formato PDF:

Presunto PDF adjunto

Presunto PDF adjunto

 

En realidad se trata de una imagen con un enlace que abre una pestaña nueva que indica que has sido desconectado de tu cuenta de Gmail y te pide tus datos para volver a acceder.

En realidad se trata de una URL falsa que incluye código en javascript, visible en la URL del navegador a ciertas resoluciones.

 

La pantalla de login de Google en inglés, sea cual sea tu idioma habitual

La pantalla de login de Google en inglés, sea cual sea tu idioma habitual

 

Esa página que aparenta ser Google, en realidad está cargada, en este caso, desde http://bluevoicepgh.club/wp-content/#identifier (seguro que hay más servidores comprometidos e implicados en este phishing)

Screenshot from 2016-01-25 15-07-51Una vez que se han facilitado los datos a esta web falsa, la página se queda en blanco y listo, acabamos de regalar nuestros datos a un tercero desconocido.

En caso de haber caído, el primer paso es cambiar inmediatamente la clave, en este caso descrito los atacantes no están cambiando la clave del usuario, de manera que este tarda más tiempo en darse cuenta si Google no emite una alerta de tráfico sospechoso.

Para minimizar estas situaciones hay varias cosas que el usuario puede hacer:

1.- Como no vamos a estar analizando caracter a caracter cada URL, lo mejor es usar un gestor de contraseñas, los plugins que tienen para navegador detectan la URL y al no coincidir con la real del login de Google, no rellenará los datos.

2.- Activar la verificación en 2 pasos de la cuenta de Google en  https://accounts.google.com/b/1/SmsAuthSettings#devices que bien puede ser recibir un SMS con un código cada vez que hagamos login, o bien usar una app como Google Authenticator o FreeOTP, las cuales están disponibles para Android e iOS. Os recomiendo la app, los SMS de Google a veces tardan hasta 10 minutos en llegar.