У нас был компьютер, зараженный трояном-вымогателем RANSOM_CRYPTESLA.AC который зашифровал кучу файлов на сетевом диске. Мы изолировали ПК и просто восстановили из резервной копии.
Одновременно произошло то, что все наши теневые копии с файлового сервера тоже были удалены. Этот сервер не был заражен - был просканирован антивирусным ПО и специальной программой-вымогателем от Trend. Сервер - это Windows 2008R2 с ролью файловых служб и общими папками CIF.
В соответствии с TrendMicro этот троян, по-видимому, выполняет следующую команду для удаления теневых копий:
vssadmin.exe delete shadows /all /Quiet
Я не могу найти способ запустить эту команду с ПК и есть теневые копии удалено с сервера.
Если я бегу:
vssadmin list shadows /for=p:
он возвращает:
Ошибка: либо указанный том не найден, либо это не локальный том.
Я не могу найти статьи / форумы, чтобы сказать vssadmin может работать по сети для управления общим сетевым ресурсом.
Как могли наши тени быть удалены с файлового сервера?
Вам нужно больше информации?
Спасибо
После просмотра журналов событий на файловом сервере я обнаружил 10 событий подряд в течение часа, в которых говорилось следующее:
Имя журнала: Система Источник: volsnap Идентификатор события: 33 Самая старая теневая копия тома G: была удалена, чтобы использовать дисковое пространство для теневых копий тома G: ниже установленного пользователем лимита.
Но следующим событием в списке было следующее:
Имя журнала: Система Источник: volsnap Идентификатор события: 36 Теневые копии тома G: были прерваны, поскольку хранилище теневых копий не могло увеличиться из-за ограничения, установленного пользователем.
Проведя дополнительное расследование по проверке вновь записанных файлов и опросив других администраторов, мы обнаружили, что пользователь скопировал на диск большой PST-файл. Также существует ограничение для теневых копий в 9 ГБ. PST составлял 8 ГБ, а обычная скорость изменения на диске - 1 ГБ в день.
Поскольку все изменения превышали ограничение в 9 ГБ, служба теней решила удалить все тени, чтобы освободить место для новой. Тогда предел размера тени для этого диска не позволял ему создавать новую тень. Так что в итоге у нас не было теней на этом диске.
Это произошло примерно за час до того, как нам понадобилось использовать тени для восстановления зараженных / зашифрованных файлов. Значит, тени удалил не троянец, это было неудачное совпадение. Теперь мы собираемся провести полный обзор нашей инфраструктуры резервного копирования.
Во-первых, важно отметить, что вы не знаете наверняка, связано ли событие на клиентской машине с удалением теневых копий на сервере. Я бы посоветовал заглянуть в ваши журналы просмотра событий для получения дополнительных подсказок.
С учетом сказанного; вопрос остается
Как могли наши тени быть удалены с файлового сервера?
Если вам особенно интересно, как это можно сделать из удаленная машина например, зараженный клиент, то вот несколько способов сделать это:
1) эквивалент PSexec для удаленного выполнения команды vssadmin на сервере.
2) используя сценарий PowerShell, например вот этот для удаленного выполнения команд.
3) с помощью командлета Get-WMIObject, как описано Вот