似乎我们的域计算机不知何故被勒索软件感染,将文件转换为以 .crypted 结尾的加密文件。许多文件已被更改,我们确实有备份。
同时,对实际恶意软件/病毒/木马的扫描目前还没有任何结果。我没有扫描所有计算机,但我确实注意到被更改的文件只在共享文件夹中。
我尝试了几种工具,因为我有原始文件的副本(至少部分),但似乎无法解密它们。至少现在还不行。
我想是的 - 但我可能错了,也许只有一台可以访问所有这些共享文件夹的计算机实际上被感染了,并且它更改了这些文件名。这可能吗?在我检查过的计算机上尚未发现加密的本地文件。
我该如何检查?有什么想法吗?文件已更改为“filename.exe.NUMBER{[电子邮件保护]}。我尝试与该地址进行通信 - 一些知道代理背后的人要求我提供 5000 美元。
任何想法,将不胜感激。
答案1
我想是的 - 但我可能错了,也许只有一台可以访问所有这些共享文件夹的计算机实际上被感染了,并且它更改了这些文件名。这可能吗?在我检查过的计算机上尚未发现加密的本地文件。
是的,完全有可能。一台有共享文件夹的电脑就够了。
然而:如果你不能 100% 确定(我的意思是 100%!)计算机没有被感染,你真的应该从头开始重新安装并从上次已知的良好备份中恢复。这甚至可能包括您的 DC 和文件服务器。
我尝试了几种工具,因为我有原始文件的副本(至少部分),但似乎无法解密它们。至少现在还不行。
我真的不明白你的意思。除了少数变体会出于某种原因免费提供解密密钥外,如果不支付赎金,你根本无法解密(如果你支付了赎金,你只能希望犯罪分子信守“诺言”,在付款后将密钥交给你)。
我如何检查?
您需要扫描每一个从已知良好的启动介质将计算机连接到网络并从那里运行病毒检查。不要在正在运行的系统中扫描,这样做没有效果。
答案2
任何一台受感染的计算机都可以加密它有写权限的任何文件。因此,共享文件夹可以由一台计算机加密。
解密任何这些文件很可能是不可能的。您需要从备份中恢复它们。
但是,在从备份中恢复之前,您需要确保勒索软件无法再次访问这些文件。您可以做两件事:
- 从托管这些文件的系统中删除共享,然后恢复备份。同时,找到托管勒索软件的计算机。
您可以使用此方法查找装有勒索软件的计算机:
每次允许一台计算机访问文件。一旦您发现加密文件,您就知道最新的计算机很可能有勒索软件。然后您可以从干净的备份中恢复该计算机。
- 您可以检查网络上的每台计算机,找出哪台计算机托管了勒索软件。找到后,从备份中恢复。之后,您可以从干净的备份中恢复服务器上的文件。
如果你没有备份,那么你就麻烦了。即使你支付了罪犯要求的钱,他很可能也不会帮你解密文件。