我们的电脑感染了勒索软件木马RANSOM_CRYPTESLA.AC加密了网络驱动器上的一堆文件。我们隔离了 PC,然后从备份中恢复。
同时发生的一件事是,文件服务器的所有卷影副本也被删除了。该服务器没有被感染 - 用 AV 和 Trend 的特殊勒索软件工具进行了扫描。该服务器是 Windows 2008R2,具有文件服务角色和 CIF 共享。
根据趋势科技该木马显然运行以下命令来删除卷影副本:
vssadmin.exe delete shadows /all /Quiet
我找不到运行此命令的方法从电脑并拥有影子副本从服务器中删除。
如果我运行:
vssadmin list shadows /for=p:
它返回:
错误:未找到指定的卷,或者它不是本地卷。
我找不到任何文章/论坛说vssadmin可以通过网络运行来管理网络共享。
我们的阴影怎么会从文件服务器中删除呢?
你需要更多信息?
谢谢
答案1
答案2
查看文件服务器上的事件日志后,我发现一小时内连续发生了 10 个事件,内容如下:
日志名称:系统来源:volsnap 事件 ID:33 已删除卷 G:的最旧的卷影副本,以使卷 G:的卷影副本的磁盘空间使用量保持在用户定义的限制以下。
但列表中的下一个事件如下:
日志名称:系统 来源:volsnap 事件 ID:36 卷 G:的卷影副本已中止,因为由于用户施加的限制,卷影副本存储无法增长。
通过进一步检查新写入的文件并询问其他管理员,我们发现用户已将大型 PST 复制到驱动器。卷影副本也有 9GB 的限制。PST 为 8GB,驱动器上的正常变化率为 1GB/天。
由于所有更改都超过了 9GB 的限制,影子服务决定删除所有影子,为新影子腾出空间。然后该驱动器的影子大小限制不允许它创建新的影子。所以我们最终在该驱动器上没有影子。
这件事发生在我们需要使用影子恢复受感染/加密的文件前大约一小时。所以不是木马删除了影子,这只是一个不幸的巧合。我们现在将对我们的备份基础设施进行全面审查。