我们有一台感染了RANSOM_CRYPTESLA.AC Trojan RANSOM_CRYPTESLA.AC的PC,它在networking驱动器上encryption了一堆文件。 我们隔离了PC,并从备份恢复。
发生在同一时间的事情之一是我们从文件服务器的影子副本也被删除了。 此服务器未被感染 – 使用AV和Trend的特殊勒索软件工具扫描。 服务器是具有文件服务angular色和CIF共享的Windows 2008R2。
根据趋势科技,这个木马显然运行以下命令来删除卷影副本:
vssadmin.exe delete shadows /all /Quiet
我不能find一种方法来从PC运行这个命令,并从服务器上删除阴影。
如果我运行:
vssadmin list shadows /for=p:
它返回:
错误:未find指定的卷或者它不是本地卷。
我找不到任何文章/论坛说vssadmin可以运行networking来pipe理networking共享。
我们的阴影怎么能从文件服务器中删除?
你需要更多信息?
谢谢
首先需要注意的是,您不能确定客户端计算机上的事件是否与删除服务器上的卷影副本相关联。 我会build议寻find你的事件查看器日志更多的线索。
照这样说; 问题依然存在
我们的阴影怎么能从文件服务器中删除?
如果您特别好奇如何从受感染的客户端等远程机器上完成,那么可以采取以下两种方法:
1)等同于PSexec,以远程执行服务器上的vssadmin命令。
2)使用像这样的PowerShell脚本来远程执行命令。
3)使用这里描述的Get-WMIObject cmdlet
走过文件服务器上的事件日志之后,我在一个小时的时间内发现了一行中的10个事件,并说:
日志名称:系统源:volsnap事件ID:33卷G的最旧卷影副本被删除,以保持卷G的卷影副本的磁盘空间使用率:低于用户定义的限制。
但列表中的下一个事件如下:
日志名称:系统源:volsnap事件ID:36卷G的卷影副本被中止,因为卷影副本存储无法增长,因为用户限制。
随着更多关于检查新写入的文件和询问其他pipe理员的调查,我们发现用户已经将大的PST复制到驱动器。 9GB的影子拷贝也有限制。 太平洋标准时间是8GB,驱动器的通常变化率是1GB /天。
由于所有的变化都超过了9GB的限制,影子服务决定删除所有的阴影,为新的空间。 那么该驱动器的影子大小限制不允许它创build新的阴影。 所以我们结束了在这个驱动器上没有阴影。
这发生在我们需要使用阴影恢复受感染/encryption文件之前大约一个小时。 所以这不是木马删除了阴影,这只是一个不幸的巧合。 我们现在要对备份基础架构进行全面的审查。