我最近开始在一家大型国际组织的一家小子公司工作。我的工作是服务台,团队中有 3 名开发人员,我们的老板是经理兼代理系统管理员。员工流动率很高,在过去 18 个月中,有 3 名系统管理员来来去去,所以系统状况并不理想。
我们有 64 个用户,他们有 8-12 个映射驱动器 - 它们在启动时使用由活动目录设置的批处理文件挂载;具体取决于他们所在的组织部分。昨天我接到一个用户的电话,她说她无法打开前一天晚上处理的 Word 文档。当我去调查时,我发现该文件显示的扩展名为 .crypt。然后我意识到这个网络共享上的每个 Word 文档也都加密了,但 .jpg 文件没问题。(经过进一步调查,我发现 .doc、.xls、.pdf、.zip 和 .txt 文件都已加密)我快速检查了员工使用的所有其他网络共享,但在其他任何地方都没有发现勒索软件的踪迹。受影响的网络共享的每个子文件夹中都有一个文本文件,其中包含如何支付赎金的说明。
受影响的一个网络共享位于与 Active Directory 链接的网络设备 NAS 盒上。
从听说其他公司的情况来看,我对这种病毒的理解是,它需要在电脑上模仿,无论是通过电子邮件链接还是从网上下载的东西,并且所有本地和网络驱动器,包括任何可能的 USB 驱动器都应该加密。然而,我们在任何一台电脑上都找不到这种病毒的踪迹,我们也发现奇怪的是其他网络共享都没有被感染。
我们检查了所有 PC 的本地目录,查找 .txt 文件等。一旦发现这些文件可以打开,我们就认为这台机器是干净的,不是引发病毒的机器。我们还搜索了 .crypt 文件。
-我们还能做些什么来找到导致这种情况的 PC 吗? -我们假设用户通过打开附件或单击 Web 中的链接导致这种情况,这是错误的吗? -我们假设任何 PC 上都会有痕迹,这是错误的吗? -其他驱动器怎么没有受到影响?正如我提到的,用户在任何给定时间总是映射多个驱动器。 -还有什么我们应该注意的吗? -您将如何尝试识别导致这种情况的机器/员工?
抱歉,帖子太长了,我尽量提供详细信息。如果您有任何建议,我将不胜感激。谢谢。
答案1
编辑文件的属性,安全选项卡,高级。检查所有者。这应该提供用户。