Aviso a clientes con servidores Windows con Terminal Server

Este es un aviso URGENTE para todos nuestros clientes con servidores Windows con las conexiones de Terminal Server abiertas en el puerto 3389 (por defecto).

 

SI USTED NO TIENE UN SERVIDOR WINDOWS CONTRATADO CON NOSOTROS, IGNORE EL RESTO DE LA INFORMACIÓN.

 

Si sí que tiene un servidor y sabe que tiene el servicio de Terminal Server ejecutándose, se está propagando una nueva variante del “virus de la policía” que encripta los archivos más importantes (documentos de Word, Excel, fotos, música) dentro de una carpeta comprimida que es imposible de descifrar. A cambio de la contraseña, piden entre $500 (las primeras 24h) o más de $1000 (a partir de las 48h posteriores).

 

En caso de usar un servidor Windows con el puerto 3389, le recomendamos las siguientes medidas de seguridad:

– Cambiar el puerto de escucha a otro “no estándar”, como el 33899.

– Limitar el acceso a Terminal Server desde IPs conocidas, única y exclusivamente

 

Si ha sido afectado, NO PAGUE, NO PAGUE Y NO PAGUE!. No podemos decírselo ni más claro ni más alto! Use la herramienta que hemos puesto a su disposición aquí: http://www.hachete.com/files/ACCDFISA_Unlock.rar

para introducir el código que le da la pantalla de bloqueo y así podrá descomprimir sus archivos. Esta descompresión hágala MANUALMENTE, sin la herramienta que los hackers le proporcionan o podría perder sus archivos.

 

Si quiere hacer el proceso más automáticamente, le recomendamos que siga estos pasos:

 

1. Descargue e instalw Winrar. Puede hacerlo desde aquí: http://downloads.winrar.es/descargas/52?PHPSESSID=9297ca411b7882ba1f27ea146d74bc0a

2. Descargue este fichero. NO LO EJECUTE DIRECTAMENTE: http://download.bleepingcomputer.com/bats/decrypt-aes.bat

3. Edite el fichero y donde pone: set password=1a2vn57b348741t92451sst0a391ba72 cambie todo lo que viene detrás de =   e introduzca la clave que le proporciona la herramienta de: http://www.hachete.com/files/ACCDFISA_Unlock.rar

Este programa escanerá su unidad C:\ en busca de ficheros comprimidos y bloqueados por contraseña y extraerá todo su contenido. Si necesita cambiar la unidad donde están los archivos, en el .bat puede definirlo.

 

Como siempre, el crédito de este post va para la gente de Bleeping Computer. También gracias a la gente de Clónico que nos avisaron de la nueva variante!

 

El Equipo de Hacheté

[Afectación parcial – Mantenimiento planificado] Reemplazo router

Debido a la micropérdida de paquetes que está sufriendo el router que sirve las IPs del rango: 84.124.52.1 – 84.124.52.64, mañana a las 22:30 abrimos una ventana de tiempo para su reemplazo.

En este período sus servidores y emails no estarán disponibles, pero no se perderá nada de contenido.

 

Comienzo de la intervención: 22:30 del 12/02/2013

Finalización de la intervención: aproximadamente 23:00 del 12/02/2013

Duración de la incidencia: 00:30

Problema:

– Reemplazo router

Motivo:

– Problemas de micro-cortes por mal funcionamiento de CPU

Afectación:

– Completa en todos los servidores conectados por este router: 84.124.52.1 a 84.124.52.64

Solución:

– Reemplazo de router por uno nuevo.

 

Esperamos que el timpo de desconexión sea menor a 30 mins, pero abrimos esa ventana para poder trabajar con algo de margen.

 

Lamentamos las molestias ocasionadas.

 

El Equipo de Hacheté

 

[Actualización 23:15: el servicio está plenamente restablecido y el router en monitorización para comprobar que el servicio en el rango de IPs indicadas funciona correctamente]

[Afectación de un único servidor] 84.124.52.18 — Inclusión en listas negras

Hoy, el servidor 84.124.52.18 — asterix.hachete.com ha sido incluído en una lista negra (Spamhaus – CBL) y por ello todos los emails que se han enviado desde el mismo venían devueltos.

La inclusión viene motivada por un script malicioso que nos ha subido debido a una versión desactualizada de  Joomla.

 

El script ha sido rápidamente detectado y eliminado.

La incidencia ha quedado resuelta a las 09:45. La propagación de los cambios puede tardar hasta 8h, durante los cuales algunos servidores de email seguirán devolviendo correos.

 

Desde Hacheté recomendamos ENFÁTICAMENTE la actualización de cualquier CMS tipo Joomla, WordPress, Drupal, etc para evitar estos problemas.

Les rogamos disculpas por las molestias ocasionadas.

El Equipo de Hacheté

[Afectación de un único servidor] 84.124.52.12 — Inclusión en listas negras

Hoy, el servidor 84.124.52.12 — tintin.hachete.com ha sido incluído en una lista negra (Spamhaus) y por ello todos los emails que se han enviado desde el mismo venían devueltos.

 

La inclusión no tiene motivo conocido aparente, ya que no hay ninguna cuenta infectada ni ningún script enviando mails masivos. Hemos enviado ticket de soporte a Spamhaus para que nos investiguen la causa. En cuanto nos respondan, actualizaremos este aviso.

 

La incidencia ha quedado resuelta a las 11:15. La propagación de los cambios puede tardar hasta 4h.

 

Les rogamos disculpas por las molestias ocasionadas.

 

El Equipo de Hacheté

[Mantenimiento planificado. Afectación de un único servidor.] Detención servidor 84.124.52.18

En la mañana de hoy domingo 30/12/2012 procederemos a la detención del servidor 84.124.52.18 para proceder a reemplazar una tarjeta de red que está dando problemas de pérdida de paquetes.

 

Esta detención no debería durar más de 15 minutos y en cuanto esté hecho el reemplazo de hardware, actualizaremos este post.

 

Lamentamos las molestias ocasionadas.

 

El Equipo de Hacheté.

 

Actualización 14:55: El reemplazo de la tarjeta se ha completado en el tiempo indicado. También hemos aprovechado para actualizar la BIOS del servidor. El tiempo total de parada ha sido de 35 mins.

[Afectación parcial] Problema enrutamiento IPs 84.124.52.2-84.124.52.64

21:50: Estamos investigando un problema de enrutamiento de las IPs que comienzan por 84.124.52.2 hasta la 84.124.52.64. Ya tenemos una incidencia abierta con uno de nuestros proveedores de conectividad (ONO) y en cuanto haya alguna noticia, actualizaremos este post.

00:42. Volvemos a tener conectividad en ese rango. Ya hemos pedido el informe a ver qué ha pasado. En cuanto lo tengamos, lo adjuntaremos aquí.

 

Lamentamos las molestias causadas.

 

El equipo de Hacheté

[Afectación parcial] Detención de varios servidores por fallo de PDU.

Comienzo de la incidencia: 14:30 del 02/12/2012

Finalización de la incidencia: 16:36 del 02/12/2012

Duración de la incidencia: 02:06h

Problema:

– Detención de todos los servicios en varios servidores afectados.

Motivo:

– Fallo eléctrico en PDU (unidad de distribución de alimentación).

Afectación:

– Completa en todos los servidores conectados a esta PDU: 84.124.52.4, 84.124.52.12, 84.124.52.3 y 84.124.52.8

Solución:

– Reemplazo de la PDU por otra nueva

No se ha perdido ningún email ni ninguna configuración pero durante la parada, todos los servicios de las máquinas afectadas no han estado disponibles.

Lamentamos las molestias causadas.

El Equipo de Hacheté.

[Finalización trabajo planificado] 21/11/2012 Instalación nuevo generador

 

Normalmente no solemos poner posts cuando terminamos un trabajo planificado, pero el de hoy se lo merece, ya que nos hemos tenido que salir de lo “planificado” y por eso informamos:

– Hemos terminado los trabajos a las 09:20 (en vez de a las 09:00 como estaba planificado).

– Hemos tenido que parar algunas máquinas y reiniciar otras debido a las indicaciones de nuestros electricistas.

 

 

Por todo ello les pedimos disculpas.

Todos los servicios están plenamente operativos desde las 09:20. Si hay alguna incidencia no detectada, les rogamos que abran un ticket en: http://soporte.hachete.com

 

 

El Equipo de Hacheté.

 

 

 

 

Detención de servicios en 84.124.52.18

Comienzo de la incidencia: 09:15 del 19/11/2012

Finalización de la incidencia: 10:00 del 19/11/2012

Duración de la incidencia: 00:45h

Problema:

– Detención de todos los servicios en el servidor afectado.

Motivo:

– Rotura disco duro de backup

Afectación:

– Completa en todos los dominios alojados en la máquina.

Solución:

– Reemplazo del disco duro de copias de seguridad por otro.

Esta mañana, a las 09:15 hemos detectado que uno de nuestros servidores ha dejado de responder y todos los servicios parecían caídos.

Uno de nuestros técnicos ha intentado reiniciar la máquina en remoto, pero ha sido imposible, con lo que ha tenido que reiniciarlo mediante conexión directa a la máquina afectada.

Se ha diagnosticado que el fallo era debido a un disco USB de copias de seguridad, con lo que éste ha sido reemplazado por uno nuevo y la máquina ha recuperado todas sus funciones.

No se ha perdido ningún email ni ninguna configuración.

Lamentamos las molestias causadas.

El Equipo de Hacheté.

[Trabajo planificado] Ampliación caudal pospuesta hasta 07/12/2012

Tal y como informábamos aquí: https://www.statushachete.com/2012/11/16/trabajo-planificado-21112012-ampliacion-caudal-proveedor/  vamos a proceder a la ampliación de caudal con uno de nuestros proveedores (ONO), pero la planificación para este pŕoximo día 16 de Noviembre ha debido de ser pospuesta al día 7 de Diciembre entre las 06:30 y las 08:30.

Lamentamos las molestias ocasionadas.