none
Ransoware danificou AD, roda GPO mas não roda Script RRS feed

  • Pergunta

  • Boa tarde,

    O AD foi atingido por um Ransoware, Roger, criptografou os Scripts que eu tinha mais uns arquivos que já estavam nas subpastas do C:\Windows\SYSVOL\sysvol\domino\scripts.

    As GPOs continuam rodando normalmente, mas não roda mais nenhum Script.

    Existe algum arquivo que possa ter sido danificado que possa substitu-i-lo?

    Algum procedimento para correção?

    quarta-feira, 26 de maio de 2021 16:59

Todas as Respostas

  • Primeiro remova o ransomware com um antivírus atualizado. Eu recomando algo que possa rodar durante o boot usando um pendrive ou DVD (como o Avast Rescue CD). Quando o ransomware tiver sido removido substitua os arquivos afetados por um backup.

    Não é recomendado pagar o resgate já que você vai estar financiando futuras infecções em outros computadores e não há garantia que os hackers vão te mandar a chave para descriptografar seus arquivos.

    Se não tem backup tem uma pequena  chance de poder descriptografar seus arquivos usando esse site:

    nomoreransom.org

    Nesse site você envia uma amostra de algum arquivo infectado e eles te falam se já existe um meio de descriptografar seus arquivos.


    R. Bohner

    quarta-feira, 26 de maio de 2021 20:25
  • Estranho ter afetado compartilhamento somente leitura. Outra coisa eh rever usuarios com permissao de domain admin, etc. Ricardo, ja viu algum que recupere arquivo em lote? Ja vi alguns no passado e tinha que tentar arquivo por arquivo.
    quarta-feira, 26 de maio de 2021 23:19
  • Se estiver falando do site que eu mandei você só envia um arquivo para testar, se tiver solução você pode baixar a solução para recuperar todos os seus arquivos...mais as chances são baixas de ter uma solução, o melhor é usar backup para restaurar arquivos.

    R. Bohner

    quarta-feira, 26 de maio de 2021 23:23
  • Para esse caso backup sempre, ainda mais qnd compromete srv. No passado pesquisando tinha formas para bloquear criacao/execucao de arquivos na pasta app data/roaming, etc vc usa isso? Recomenda alguma acao preventiva? Nao pedi para aplicarem nada pq o local tem mta coisa particular onde programas criam coisa nesses lugares
    quarta-feira, 26 de maio de 2021 23:36
  • Antivírus oferecem proteção contra ransomware mais acredito que eles tem que ser instalados antes do computador ser infectado e não depois.

    Quando você instala antivírus após a infecção eles removem o vírus mais não descriptografam os arquivos, geralmente esses vírus usam uma criptografia muito forte.


    R. Bohner

    quarta-feira, 26 de maio de 2021 23:42
  • pela forma que o ransoware age nao confio muito em antivirus.

    nos casos que acompanhei ele so detecta depois que o estrago ja foi feito.

    quinta-feira, 27 de maio de 2021 11:06