ランサムウェアはどのようにしてファイルサーバー上のシャドウコピーを削除しましたか
PCがランサムウェア型トロイの木馬に感染しました RANSOM_CRYPTESLA.AC ネットワークドライブ上の一連のファイルを暗号化しました。 PCを分離し、バックアップから復元しました。
同時に発生したことの1つは、ファイルサーバーからのシャドウコピーもすべて削除されたことです。このサーバーは感染していません-AVとTrendの特別なランサムウェアツールでスキャンされました。サーバーは、ファイルサービスの役割とCIFを共有するWindows2008R2です。
TrendMicro によると、このトロイの木馬は明らかに次のコマンドを実行してシャドウコピーを削除します。
vssadmin.exe delete shadows /all /Quiet
このコマンドを実行する方法が見つかりませんPCからそしてシャドウコピーを持っていますサーバーから削除されました。
私が実行した場合:
vssadmin list shadows /for=p:
それは戻ります:
エラー:指定されたボリュームが見つからなかったか、ローカルボリュームではありません。
vssadminがネットワーク全体で実行されてネットワーク共有を管理できると言う記事/フォーラムが見つかりません。
シャドウをファイルサーバーから削除するにはどうすればよいですか?
もっと情報が必要ですか?
ありがとう
ファイルサーバーのイベントログを調べた後、1時間の間に10個のイベントが連続して次のように表示されているのを見つけました。
ログ名:システムソース:volsnapイベントID:33ボリュームG:のシャドウコピーのディスク領域使用量をユーザー定義の制限未満に保つために、ボリュームG:の最も古いシャドウコピーが削除されました。
しかし、リストの次のイベントは次のとおりです。
ログ名:システムソース:volsnapイベントID:36ユーザーによる制限のためにシャドウコピーストレージを拡張できなかったため、ボリュームG:のシャドウコピーは中止されました。
新しく書き込まれたファイルをチェックし、他の管理者に尋ねる調査をさらに行ったところ、ユーザーが大きなPSTをドライブにコピーしたことがわかりました。 9GBのシャドウコピーにも制限があります。 PSTは8GBで、ドライブの通常の変更率は1GB /日です。
すべての変更が9GBの制限を超えていたため、シャドウサービスは、新しいシャドウ用のスペースを確保するためにすべてのシャドウを削除することを決定しました。次に、そのドライブのシャドウサイズの制限により、新しいシャドウを作成できませんでした。そのため、そのドライブには影ができなくなりました。
これは、シャドウを使用して感染/暗号化されたファイルを復元する必要がある約1時間前に発生しました。したがって、影を削除したのはトロイの木馬ではなく、不運な偶然でした。次に、バックアップインフラストラクチャの完全なレビューを行います。
まず、クライアントマシンでのイベントが、サーバーでのシャドウコピーの削除にリンクされているかどうかがわからないことに注意することが重要です。イベントビューアのログを調べて、さらに手がかりを探すことをお勧めします。
とは言うものの;質問は残っています
シャドウをファイルサーバーから削除するにはどうすればよいですか?
感染したクライアントなどのリモートマシンからどのように実行できるかについて特に興味がある場合、次に、それを行うことができたいくつかの方法があります。
1)サーバー上でvssadminコマンドをリモートで実行するための PSexec と同等です。
2) this one などのPowerShellスクリプトを使用して、コマンドをリモートで実行します。
3)説明されているようにGet-WMIObjectコマンドレットを使用する ここ