Edite as propriedades do arquivo, guia Segurança, Avançado. Verifique o proprietário. Isso deve fornecer ao usuário.
Recentemente, comecei a trabalhar em uma pequena subsidiária de uma organização internacional maior. Meu trabalho está no help desk, e há 3 desenvolvedores na equipe, e nosso chefe é o administrador e o administrador de sistemas. Houve uma alta rotatividade de pessoal, na qual 3 administradores vieram e foram nos últimos 18 meses, então o sistema não está nas melhores condições.
Temos 64 usuários com 8 a 12 unidades mapeadas - eles são montados na inicialização com um arquivo de lote definido pelo diretório ativo; dependendo de em que parte da organização eles estão. Ontem recebo uma ligação de um usuário que disse que não podia abrir um documento do qual ela estava trabalhando na noite anterior. Quando fui investigar, vi que o arquivo mostrava uma extensão .crypt. Percebi então que cada documento do Word nesse compartilhamento de rede também era criptografado, mas os arquivos .jpg estavam bem. (Após investigações posteriores, descobri que arquivos .doc, .xls, .pdf, .zip e .txt foram criptografados). Fiz uma verificação rápida de todos os outros compartilhamentos de rede usados por funcionários, mas não encontrei nenhum rastro de resgate em nenhum outro lugar. O compartilhamento de rede afetado tinha um arquivo de texto em cada subpasta com instruções de como pagar o resgate.
O compartilhamento de rede afetado reside em uma caixa NAS de engrenagem de rede vinculada ao Active Directory.
minha compreensão desse vírus, por ouvir sobre outras empresas, é que ele precisa ser imitado em um PC, seja por meio de um link de e-mail ou algo baixado da web e que TODAS as unidades locais e de rede, incluindo qualquer possível USB unidades devem ser criptografadas. No entanto, não podemos encontrar vestígios desse vírus em nenhum de nossos PCs, e também achamos estranho que nenhum dos outros compartilhamentos de rede tenha sido infectado.
Nós estamos indo para todos os PCs e verificando os diretórios locais para arquivos .txt, etc. e uma vez que eles sejam abertos, assumimos que a máquina está limpa e não é a que iniciou o vírus. Nós também procuramos arquivos .crypt.
-Existe algo mais que podemos fazer para encontrar o PC que causou isso? -É errado supor que um usuário causou isso abrindo um anexo ou clicando em um link na web? -Estamos errados em supor que haveria um traço em algum dos PCs? -Como nenhuma das outras unidades foi afetada? Como mencionei, os usuários sempre têm várias unidades mapeadas a qualquer momento. Há mais alguma coisa que devemos procurar? -como você iria tentar identificar a máquina / funcionário que causou isso?
Desculpas para o longo post, tentei dar o máximo de detalhes possível. Eu ficaria grato por qualquer conselho. Obrigado.
Edite as propriedades do arquivo, guia Segurança, Avançado. Verifique o proprietário. Isso deve fornecer ao usuário.