Кажется что файлы зашифрованы, но непонятно чем.

[sgosa]

Обнаружились на сетевой шаре в папке одного отдела 4000 повреждённых пдф файлов.

Как то можно определить метод шифрования?

 

Случилось это давно, так как бэкап 45 дневной давности уже содержит битые файлы.

Непонятно откуда взялся шифровальщик, на вымогателя не похоже, расширение файлов было не изменено, сообщения в стиле "заплатите" тоже нет.

Файлы побиты как-то странно, в одной папке могут быть и битые пдф и нет, причем как то биты рандомно по папкам. Одно общее - это папка отдела.

Никакие больше шары не затронуты, как и рабочие столы или компьютеры.

Похоже на диверсию одного из сотрудников.

 

ссылка на файл https://www.sendspace.com/file/g48bdw

[Sandor]

Здравствуйте!

 

Пока определить тип вымогателя (если действительно это было шифрование) не получается. Хорошо бы найти записку с требованием выкупа.

Вариант физического повреждения из-за неисправности, например, жесткого диска не рассматриваете?

[sgosa]

Рассматриваю любые варианты, сейчас известно что проблема коснулась не только пдф. Попали и офисные и кады, и архивы.

Насчет диска, это ВМ на vmware esxi.

Как всё начиналось: на прошлой недели во время бэкапа произошла ошибка. Диск в системе был RAW. На этом диске находится общая папка отдела, к ней имеют доступ ограниченный круг лиц.

windows event log

PreFinalCommitSnapshots({5ad6f142-0c0e-48ec-8c84-ace3489d6ada}, 4) [hr = 0x8000ffff, Destructive failure].

Error context: CreateFileW(\\?\Volume{a4315ebe-b055-4ec0-8a93-3e63a65e7104},0xc0000000,0x00000003,...).

Veeam send Error
Creating VSS snapshot Error: Failed to create snapshot: Backup job failed. Cannot create a shadow copy of the volumes containing writer's data. VSS asynchronous operation is not completed. Operation: [Shadow copies commit]. Code: [0x8004230f].
Error: Failed to create snapshot: Backup job failed. Cannot create a shadow copy of the volumes containing writer's data. VSS asynchronous operation is not completed. Operation: [Shadow copies commit]. Code: [0x8004230f].

 

В логе вмвари ничего.

Я удалил диск, создал новый, и скопировал файлы из последнего бэкапа. Пользователи начали жаловаться что ничего не открывается и т.п. После проверки я понял что самый старый бэкап уже содержит битые файлы.

 

И тут моей квалификации уже начинает не хватать. Так как считаю что veeam точно не мог побить файлы, а по какой причине разрушился диск виртуальной машины - даже предположить не могу.

Все остальные диски на этом сервере, как и на других небыли затронуты. Ни одной жалобы на зашифрованный пк у нас тоже не было

Какова вероятность что из-за какого-то разрушения диска виртуальной машины файлы побились именно вот так. Мне кажется если бы это действительно произошло, то никакой файловой структуры я бы вообще не увидел.

Думаю всё таки что разрушение диска и побитые файлы - события не связанные. Дело в том что к данному диску пользователи обращаются не часто, (по той информации, которую они сейчас предоставляют - файлы точно были корректными летом.)но как только он стал недоступен, пошла волна "по отделу", и после восстановления юзеры начали проверять что там случилось.

Ошибок в рейде на СХД тоже нет.

 

Отчет по угрозам KSC не показывает никаких ransom или чего-то похожего.