Недавно я начал работать в небольшом филиале более крупной международной организации. Я работаю в службе поддержки, и в команде 3 разработчика, а наш босс - менеджер и действующий системный администратор. Произошла высокая текучесть кадров: 3 системных администратора приходили и уходили за последние 18 месяцев, так что система не в лучшем состоянии.
У нас есть 64 пользователя, у которых 8 - 12 подключенных дисков - они монтируются при запуске с помощью командного файла, установленного активным каталогом; в зависимости от того, в какой части организации они находятся. Вчера мне позвонила одна пользователь, которая сказала, что не может открыть документ Word, над которым она работала накануне вечером. Когда я пошел исследовать, я увидел, что файл имеет расширение .crypt. Затем я понял, что каждый документ Word в этом сетевом ресурсе также был зашифрован, но файлы .jpg были в порядке. (После дальнейшего расследования я обнаружил, что файлы .doc, .xls, .pdf, .zip и .txt были зашифрованы). Я быстро проверил все другие сетевые ресурсы, которые используются сотрудниками, но нигде не обнаружил следов программ-вымогателей. В каждой подпапке затронутой сетевой папки был текстовый файл с инструкциями по уплате выкупа.
Один затронутый сетевой ресурс находится в сетевом хранилище NAS, которое связано с Active Directory.
Я понимаю, что этот вирус, когда я слышал о других компаниях, состоит в том, что его нужно имитировать на ПК, будь то через ссылку по электронной почте или что-то загруженное из Интернета, и что ВСЕ локальные и сетевые диски, включая любые возможные USB-накопители, должны быть зашифрованный. Однако мы не можем найти никаких следов этого вируса ни на одном из наших компьютеров, и нам также кажется странным, что ни один из других сетевых ресурсов не был заражен.
Мы обошли все ПК и проверили локальные каталоги на наличие файлов .txt и т. Д., И как только мы увидим, что они открываются, мы предполагаем, что машина чистая и не та, которая инициировала вирус. Мы также ищем файлы .crypt.
-Мы можем что-то еще сделать, чтобы найти компьютер, который вызвал это? -Мы ошибаемся, полагая, что это вызвал пользователь, открыв вложение или щелкнув ссылку в сети? -Мы ошибаемся, предполагая, что на любом из компьютеров будет след? -Как не повлиял ни один из других приводов? Как я уже упоминал, у пользователей всегда есть несколько подключенных дисков в любой момент времени. -Есть ли что-нибудь еще, на что мы должны обратить внимание? -Как бы вы попытались идентифицировать машину / сотрудника, вызвавшего это?
Извиняюсь за длинный пост, я постарался дать как можно больше подробностей. Буду признателен за любой совет. Спасибо.
Отредактируйте свойства файла, вкладка Безопасность, Дополнительно. Проверить владельца. Это должен предоставить пользователь.