web-dev-qa-db-ja.com

ドメインコントローラー上のいくつかのファイルが暗号化されました-どうしてそれが起こったのでしょうか?

Windowsドメインの1つでポリシーが失敗していることに気づきました。

問題を追跡したところ、INIファイルはGlobeランサムウェア(またはその亜種の1つ)によって暗号化されていたことが判明しました。

影響を受けたファイルは、すべてのポリシーINIファイル(内部の場所:C:\Windows\SYSVOL\domain\Policies、GPUpdateで使用される外部リンク:\\<domain.name>\sysvol\<domain.name>\Policies)と単一のASP C:\Windows\System32\CertSrv\CertEnrollからのファイル。

ランサムウェアの他の痕跡を確認しましたが、疑わしいファイルやレジストリエントリは見つかりませんでした。 DC自体はきれいなようです。

身代金メモは約1か月前に作成されました。

また、しばらく前に(1か月以上前だったと思いますが、100%確実ではありませんが)、ドメインの1人のユーザーが実際にランサムウェアに襲われたことも知っています。残念ながら、それがどのようなランソウメアであったか、またそれが起こった正確な日付を覚えていません。彼のコンピューターはクリーンアップされました(Nuked From Orbit)。

これらのDCファイルを暗号化するにはどうすればよいか考えて頭を悩ませています。外部ソースから暗号化されているようです。つまり、ドメイン上の一部のコンピューターがアクセスを取得し、これらのいくつかのファイルを暗号化しました。 。おそらくユーザーがコンピューターに感染しましたか?それでも、外部ソースから表示した場合、ポリシーINIファイルは読み取り専用です(または読み取り専用である必要があります)。

今、私は本当にパラノイアになっていて、どうすればいいのかわかりません。もちろん、DC)を削除することはオプションですが、実際には変更されたファイルはごくわずかであり、それらのファイルは何らかの外部アクセスも公開しているようです。しかし同時に、とにかく起こるべきではありませんでした。

これらの場所は、別のドメインコンピューターで実行されているランサムウェアの影響を受けますか?これらのファイルを他にどのように変更できますか?

1
Shaamaan

ランサムウェア自体、またはそれを植えた人が痕跡を取り除いたようです。

これはどのように起こりますか?彼は盗まれた資格情報を使用してアクセスしたと思います。サーバーに身代金のメモがある場合、それはクリーンではないと思います。何らかのバックドアがある可能性があります。つまり、再構築する必要があります。そして、すべてのパスワードがリセットされます。

2
Aria