Похоже, что компьютеры нашего домена каким-то образом были заражены программой-вымогателем, превратившей файлы в зашифрованные файлы с расширением .crypted. Многие файлы были изменены, и у нас есть резервные копии.
В то же время сканирование на наличие реальных вредоносных программ / вирусов / троянов пока ни к чему не привело. Я не просканировал все компьютеры, но заметил, что файлы, которые были изменены, находились только в общих папках.
Я пробовал несколько инструментов, потому что у меня есть копии исходных файлов (по крайней мере, некоторые), но я не могу их расшифровать. По крайней мере, пока.
Я думаю - но я могу ошибаться, что, возможно, только один компьютер с доступом ко всем этим общим папкам действительно заражен, и он изменил эти имена файлов. Это возможно ? На проверенных мной компьютерах еще не было найдено зашифрованных локальных файлов.
Как мне проверить? Любые идеи ? файлы изменились на "filename.exe.NUMBER{payfornature@india.com}. Я попытался установить связь с адресом - и какой-то парень, который знает, где находится прокси, требует 5000 долларов".
Любые идеи были бы хорошы.
Я думаю - но я могу ошибаться, что, возможно, только один компьютер с доступом ко всем этим общим папкам действительно заражен, и он изменил эти имена файлов. Это возможно ? На проверенных мной компьютерах еще не было найдено зашифрованных локальных файлов.
Да, это вполне возможно. Для работы с общими папками достаточно одного компьютера.
тем не мение: Если вы не на 100% уверены (я имею в виду 100%!), Что компьютер не заражен, вы ДЕЙСТВИТЕЛЬНО следует переустановить его с нуля и восстановить из последней удачной резервной копии. Это может даже включать ваши контроллеры домена и файловые серверы.
Я пробовал несколько инструментов, потому что у меня есть копии исходных файлов (по крайней мере, некоторые), но я не могу их расшифровать. По крайней мере, пока.
Я действительно не понимаю, что вы имеете в виду. За исключением нескольких вариантов, в которых ключ дешифрования предоставляется бесплатно по какой-либо причине, у вас нет шансов расшифровать себя, не заплатив выкуп (и если вы заплатите, вам придется надеяться, что известный преступник соблюдает свое "слово" передать вам ключ после оплаты).
Как мне проверить?
Вам нужно сканировать каждый компьютер, подключенный к сети с заведомо исправного загрузочного носителя, и запустить оттуда проверку на вирусы. Не сканировать в работающей системе, это неэффективно.
Любой зараженный компьютер может зашифровать любые файлы, к которым у него есть доступ на запись. Таким образом, общие папки могут быть зашифрованы на одном компьютере.
Расшифровать любой из этих файлов, скорее всего, невозможно. Вам нужно восстановить их из резервных копий.
Однако, прежде чем восстанавливать их из резервных копий, необходимо убедиться, что программа-вымогатель не сможет снова получить доступ к этим файлам. Вы можете сделать две вещи:
Вы можете использовать этот метод для поиска компьютера с программой-вымогателем:
Разрешить доступ к файлам для одного компьютера за раз. Как только вы обнаружите зашифрованные файлы, вы поймете, что на последнем компьютере, скорее всего, установлена программа-вымогатель. Затем вы можете восстановить этот компьютер из чистой резервной копии.
Если у вас нет резервных копий, значит, вы в плохом состоянии. Даже если вы заплатите деньги, которые просит преступник, вполне вероятно, что он не поможет вам расшифровать файлы.