我最近开始在一个更大的国际组织的小子公司工作。 我的工作在服务台上,团队中有3名开发人员,我们的老板是经理和代理系统pipe理员。 员工stream动率很高,在过去的18个月里,有3个系统pipe理员来来去去,所以系统还不是最好的。
我们有64个用户拥有8-12个映射的驱动器 – 它们在启动时使用由活动目录设置的batch file进行安装; 取决于他们所在组织的哪个部分。昨天我接到一位用户打来的电话,说他不能打开她前一天晚上工作过的文件。 当我去调查时,我看到该文件显示.crypt扩展名。 然后我意识到,这个networking共享上的每个单词文档也被encryption了,但是.jpg文件没有问题。 (经过进一步的调查,我发现.doc,.xls,.pdf,.zip和.txt文件被encryption)我做了一个员工使用的所有其他networking共享的快速检查,但没有发现任何其他地方的勒索软件的痕迹。 受影响的networking共享在每个子文件夹中都有一个文本文件,说明如何支付赎金。
受影响的networking共享驻留在与Active Directory链接的networkingNAS盒子上。
我从对其他公司的了解中了解到,这个病毒需要在PC上模仿,无论是通过电子邮件链接还是从网上下载的东西,所有本地和networking驱动器,包括任何可能的USB驱动器都应该encryption。 但是,我们在任何一台PC上都找不到这种病毒的痕迹,而且我们也感到奇怪的是,没有其他的networking共享受到感染。
我们已经去所有的电脑和检查本地目录的.txt文件等等,一旦我们看到他们打开,我们认为这台机器是干净的,而不是启动病毒的。 我们也search.crypt文件。
– 还有什么我们可以做,find造成这个电脑? – 我们错误地认为用户是通过打开附件或点击networking中的链接而造成这种情况的? – 我们错误地认为任何PC上都会有一丝痕迹吗? – 其他驱动器没有受到影响? 正如我所提到的,用户总是在任何给定的时间映射多个驱动器。 – 还有什么我们应该注意的? 如何试图找出造成这种情况的机器/员工?
道歉的龙岗,我尽量给尽可能多的细节。 我会很感激任何意见。 谢谢。
编辑文件的属性,安全选项卡,高级。 检查所有者。 这应该提供给用户。