como o ransomware excluiu shadowcopies no servidor de arquivos

Navegue suas respostas
2

Tivemos um PC infectado com um Trojan Ransomware RANSOM_CRYPTESLA.AC que criptografou um monte de arquivos em uma unidade de rede. Nós isolamos o PC e restauramos a partir do backup.

Uma das coisas que aconteceram ao mesmo tempo foi que todas as nossas cópias de sombra do servidor de arquivos também foram excluídas. Este servidor não foi infectado - varrido com AV e a ferramenta de ransomware especial da Trend. O servidor é o Windows 2008R2 com os compartilhamentos de função e CIFs de serviços de arquivo.

De acordo com o TrendMicro , este trojan aparentemente executa o seguinte comando para excluir shadow cópias: 

 vssadmin.exe delete shadows /all /Quiet

Eu não consigo encontrar uma maneira de executar este comando do PC e ter as shadowcopies deletadas do servidor .

Se eu correr: 

vssadmin list shadows /for=p:

retorna:

Error: Either the specified volume was not found or it is not a local volume.

Não consigo encontrar artigos / fóruns para dizer que vssadmin pode ser executado em toda a rede para gerenciar um compartilhamento de rede.

Como nossas sombras podem ter sido apagadas do servidor de arquivos?

Você precisa de mais informações?

Obrigado

    
por Gre 02.03.2016 / 00:27

2 respostas

0

Depois de passar pelos logs de eventos no servidor de arquivos, encontrei 10 eventos seguidos no espaço de uma hora, dizendo o seguinte:

Log Name: System Source: volsnap Event ID: 33 The oldest shadow copy of volume G: was deleted to keep disk space usage for shadow copies of volume G: below the user defined limit.

Mas o próximo evento na lista foi o seguinte:

Log Name: System Source: volsnap Event ID: 36 The shadow copies of volume G: were aborted because the shadow copy storage could not grow due to a user imposed limit.

Com mais algumas investigações sobre a verificação de arquivos recém-escritos e perguntando aos outros administradores, descobrimos que um usuário havia copiado um PST grande para a unidade. Há também um limite para as cópias de sombra de 9GB. O PST foi de 8 GB e a taxa normal de alteração na unidade é de 1 GB / dia.

Como todas as alterações foram maiores que o limite de 9 GB, o serviço de sombra decidiu excluir todas as sombras para criar espaço para a nova. Em seguida, o limite de tamanho de sombra para essa unidade não permitiu criar a nova sombra. Então acabamos sem sombras nessa unidade.

Isso aconteceu cerca de uma hora antes de precisarmos usar as sombras para restaurar arquivos infectados / criptografados. Então não foi o Trojan que apagou as sombras, foi apenas uma coincidência infeliz. Agora faremos uma revisão completa da nossa infraestrutura de backup.

    
por 03.03.2016 / 00:00
0

Primeiro, é importante observar que você não sabe com certeza que o evento na máquina cliente está vinculado à remoção de cópias de sombra no servidor. Sugiro que consulte os registros do visualizador de eventos para mais dicas.

Com isso dito; a questão permanece

How could our shadows have been deleted from the File server?

Se você está curioso sobre como isso pode ser feito a partir de uma máquina remota como o cliente infectado, aqui estão algumas maneiras que poderiam ter sido feitas:

1) um equivalente de PSexec para executar remotamente o comando vssadmin no servidor.

2) usando um script do powershell, como este para executar remotamente comandos.

3) usando o cmdlet Get-WMIObject, conforme descrito aqui

    
por 02.03.2016 / 07:22

Tags

Como depurar problemas de latência de linux sob carga de rede Posso Desabilitar Intencionalmente as Pistas PCIe? Ou menor largura PCIe?