Use o Windows PowerShell para localizar e excluir arquivos do proprietário específico

2

Por causa de um ataque de ransomware (não é grande coisa, todo recuperado do backup) Eu quero limpar os diretórios e subdiretórios no compartilhamento de rede onde o ataque criou vários arquivos scrambeled. Eles são todos de propriedade do usuário que trabalha no PC que foi infectado.

Minha melhor tentativa até agora é assim:

Get-ChildItem Z:\ -Recurse | get-acl | where {($_.Owner -eq "DOMAIN\username")} | foreach { $_.Delete()}

Mas isso não funciona porque get-acl não suporta $_.Delete()

Esse $ ou $_ não é problema meu, eu acho. Eu tenho alguns outros comandos que são um pouco prováveis. Eles correm.

Como este aqui:

Get-ChildItem -filter "~*.*" -path Z:\ -recurse | where {($_.LastWriteTime -lt (get-date).AddDays(-7))} | foreach { $_.Delete()}

Eu uso isso desde dias para excluir arquivos que foram criados restaurando arquivos do backup que não foram afetados pelo malware. Eu simplesmente restaurei o compartilhamento inteiro

Mas eu vou tentar.

Em relação à sua outra dica, preciso explicar que a conta de usuário que executou o ransomware não possui arquivos criados automaticamente nessa unidade de rede. Permissão de leitura teria sido suficiente para esse usuário.

Infelizmente, esse compartilhamento tem o Change Access para todos. Isso é de dias anteriores, onde todos nós não tivemos muito a ver com o ransomware. É claro que vou alterar esses direitos de acesso quando o trabalho principal estiver concluído.

Então, por favor, eu preciso de conselhos para excluir arquivos pertencentes a essa conta especial.

    
por Anna Nuema 11.01.2016 / 10:43

1 resposta

6

Primeiro de tudo, você teve alguns erros no seu código. O objeto individual de uma lista dentro de uma cláusula where é tratado por $_ , não $ .

E você estava pensando na esquina. Sua abordagem foi um pouco complicada. Tente isto em vez disso:)

Get-ChildItem Z:\ -Recurse | where { $_.GetAccessControl().Owner -eq "DOMAIN\username"} | Remove-Item

Embora, pessoalmente, eu não ache que essa seja realmente a melhor abordagem, já que o Proprietário pode nem sempre ser quem você pensa que é.

    
por 11.01.2016 / 11:33