Ayer por la mañana, un colega notó que todos los archivos en la carpeta pública del servidor de archivos estaban encriptados y tenían la
[email protected]texto añadido a cada nombre de archivo.
Cualquier persona en la red local alámbrica puede ver la carpeta pública y cualquiera puede escribir / leer / ejecutar en esta carpeta.
A pesar de esto, el servidor de archivos parece estar bien; No hay un uso elevado de la CPU, ni mensajes de rescate ni alteraciones extrañas en la GUI. Además, los archivos de usuarios locales del servidor aparecen intactos.
Por no mencionar que el servidor de archivos no puede acceder a Internet a propósito.
El problema es que no puedo encontrar la forma en que se introdujo en mi red, ya que todas las computadoras parecen estar bien. A excepción de la carpeta pública, todos los archivos son buenos, no hay programas sospechosos, todas las computadoras y el servidor de archivos se ejecutan con ESET Smart Security, no tienen un alto uso de CPU y solo usamos una computadora para enviar correos electrónicos.
¿Alguna idea sobre cómo puedo encontrar qué computadora fue infectada?
Para su información, no hay un firewall de hardware, todas las computadoras y mfps se conectan a un conmutador que obtiene conexión a Internet desde un enrutador One Access 150.