Se cifraron algunos archivos en un controlador de dominio. ¿Cómo pudo haber sucedido?

1

Acabo de darme cuenta de que las políticas de uno de nuestros dominios de Windows han fallado.

He rastreado el problema y resultó que los archivos INI fueron cifrados por Globe ransomware (o una de sus variantes).

Los archivos afectados fueron todos los archivos INI de políticas (ubicación interna: C:\Windows\SYSVOL\domain\Policies , enlace externo utilizado por GPUpdate: \<domain.name>\sysvol\<domain.name>\Policies ) y un solo archivo ASP de C:\Windows\System32\CertSrv\CertEnroll .

He comprobado otros rastros del ransomware y no he encontrado ninguno, ni archivos sospechosos, ni entradas de registro. Parece que el CD en sí está limpio.

La nota de rescate se creó hace aproximadamente un mes.

También sé que hace algún tiempo (aunque creo que fue hace más de un mes, aunque no estoy seguro al 100%), un usuario de nuestro dominio fue atacado con ransomware. Lamentablemente no recuerdo qué tipo de ransowmare fue, ni la fecha exacta en que ocurrió. Su computadora ha sido limpiada (Nuked From Orbit).

Me estoy rascando la cabeza pensando en cómo podrían encriptarse esos archivos DC. Me parece que fueron encriptados desde una fuente externa, es decir, algunas computadoras en el dominio obtuvieron acceso y encriptaron esos pocos archivos. Posiblemente los usuarios infectaron la computadora? Pero aún así, los archivos INI de la política son (o deberían ser) de solo lectura cuando se ven desde una fuente externa.

Ahora me estoy volviendo muy paranoico, y no estoy seguro de cómo proceder. Por supuesto, oprimir el DC es una opción, pero realmente parece que solo se cambiaron unos pocos archivos, y esos archivos también exponen algún tipo de acceso externo. PERO al mismo tiempo, eso no debería haber ocurrido de todos modos.

¿Es posible que esas ubicaciones se vean afectadas por el ransomware que se ejecuta en una computadora de dominio diferente? ¿De qué otra manera podrían cambiarse esos archivos?

    
pregunta Shaamaan 07.11.2016 - 16:07
fuente

1 respuesta

2

Parece que el propio ransomware, o la persona que lo plantó, eliminó rastros.

¿Cómo puede pasar esto? Creo que obtuvo acceso a él usando credenciales robadas, y si hay una nota de rescate en el servidor, no creo que esté limpio, creo que puede tener algún tipo de puerta trasera, lo que significa que debería ser reconstruido y todas las contraseñas se restablecen.

    
respondido por el Aria 07.11.2016 - 19:17
fuente

Lea otras preguntas en las etiquetas