El sistema de cuarentena de Windows Defender se encarga de neutralizar amenazas permitiendo una posterior acceso sobre la misma, pero cuántas veces Windows Defender (u otros antivirus) no nos habrán cazado ficheros en los momentos más inoportunos o por falsos positivos.. En el cybertruco de hoy vamos a ver cómo podemos restaurar estos archivos de la cuarentena de Windows Defender a través de CMD cuando el método normal a través de la interfaz gráfica no funciona.
Windows Defender ha ido evolucionando durante estos años desde una solución que era considerada como un antivirus de segunda (o tercera) clase hasta convertirse en una completa solución que podría rivalizar con buena parte de las soluciones disponibles comercialmente y que configurado correctamente es capaz de proporcionar una protección más que aceptable a los usuarios.
Hoy nos toca pelearnos con su sistema de cuarentena. Ya sea a raíz de un falso positivo o ya sea porque estemos trabajando con muestras de archivos, en ocasiones podemos necesitar recuperar ficheros detectados como maliciosos y por ende trasladados a cuarentena por Windows Defender. Por lo general para recuperar un archivo simplemente usaremos la interfaz gráfica y en el desplegable de opciones correspondiente a cada fichero detectado podremos recuperarlo o eliminarlo definitivamente. Esto no siempre funciona y en ocasiones clickaremos sin cesar sobre la opción de restaurar sin que aparentemente suceda nada.
Comentar aquí que si un archivo ha sido puesto en cuarentena, por lo general hay una buena razón para ello y no deberíamos sacarlo de allí a no ser que sepamos absolutamente lo que estamos haciendo ya que podría provocar graves daños a nuestro sistema.
Windows Defender coloca estos archivos en la ruta C:\ProgramData\Microsoft\Windows Defender\Quarantine\ allí dentro, genera diversas carpetas en las que encontramos nuestros archivos. Pero no podemos simplemente sacar un fichero de allí y renombrarlo, ya que estos ficheros al ser movidos a la cuarentena son tratados de manera que no sea tan obvia y sencilla su recuperación.
Restaurar archivos desde CMD
Primero ejecutamos nuestro CMD con permisos de administrador, accedemos a la carpeta “c:\Program Files\Windows Defender” y allí encontramos le programa mpcmdrun.exe. Este nos permite entre otras cosas lanzar escaneos, gestionar las firmas de detección, lanzar trazas y lo que nos interesa hoy, recuperar ficheros de la cuarentena. Podemos ver todas estas opciones lanzando el programa con
Mpcmdrun.exe -?
Para listar todos los archivos que se encuentren en cuarentena lo ejecutaremos de la siguiente forma
Mpcmdrun.exe -restore -listall
Esto nos devolverá una lista con los diferentes elementos en cuarentena con la siguiente estructura
The following items are quarantined:
ThreatName = TrojanDropper:Win32/Agent.E
file:z:\carpeta\falsopositivo.exe quarantined at 31/12/2021 20:23:05 (UTC)
Ahora ya tenemos la información que necesitamos y podemos proceder a recuperarlo. Si lo que deseamos es recuperarlo en la misma ruta podemos lanzar el siguiente comando, que recuperará la más reciente ocurrencia de la amenaza especificada. Siguiendo el ejemplo anterior sería “TrojanDropper:Win32/Agent.E”
Mpcmdrun.exe -restore -name “TrojanDropper:Win32/Agent.E”
En este paso más que posiblemente nos toparemos con el error que evitaba que pudiéramos restaurar el archivo desde la interfaz gráfica, afortunadamente aquí sí que se nos indicará el código de error e incluso apuntará hacia un completo log. En el caso más común, que la ruta de origen ya no esté disponible o que nos dé algún error debido a esta, podemos especificar un nuevo destino para la restauración como vemos a continuación
Mpcmdrun.exe -restore -name “TrojanDropper:Win32/Agent.E” -path “c:\users\test\downloads”
Alternativamente, podemos lanzar una recuperación de todos los elementos en cuarentena con
Mpcmdrun.exe -restore -all
En todo caso cuando restauremos un archivo con este método, Windows Defender mantendrá el original en cuarentena de todas maneras hasta que lo queramos eliminar directamente.
Espero que os sea de utilidad, saludos
