Mi sono appena reso conto che i criteri su uno dei nostri domini di Windows hanno avuto esito negativo.
Ho rintracciato il problema e ho scoperto che i file INI erano crittografati da Globe ransomware (o una delle sue varianti).
I file interessati erano tutti i file INI della politica (posizione interna: C:\Windows\SYSVOL\domain\Policies
, collegamento esterno utilizzato da GPUpdate: \<domain.name>\sysvol\<domain.name>\Policies
) e un singolo file ASP da C:\Windows\System32\CertSrv\CertEnroll
.
Ho controllato altre tracce del ransomware e non ne ho trovato, nessun file sospetto, nessuna voce di registro. Sembra che la stessa DC sia pulita.
La richiesta di riscatto è stata creata circa un mese fa.
So anche che qualche tempo fa (anche se penso che fosse più di un mese fa, non ne sono sicuro al 100%) un utente del nostro dominio è stato davvero colpito dal ransomware. Sfortunatamente non ricordo che tipo di riscontro fosse, né la data esatta in cui è accaduto. Il suo computer è stato ripulito (Nuked From Orbit).
Mi sto grattando la testa pensando a come quei file DC potrebbero essere crittografati. Mi sembra che siano stati crittografati da una fonte esterna, ad esempio alcuni computer nel dominio hanno ottenuto l'accesso e crittografato quei pochi file. Forse gli utenti hanno infettato il computer? Tuttavia, i file INI di policy sono (o dovrebbero essere) di sola lettura se visualizzati da una fonte esterna.
Ora sto diventando davvero paranoico e non sono sicuro di come procedere. Nuking the DC è ovviamente un'opzione, ma sembra che solo pochi file siano stati modificati, e tali file sembrano esporre anche una sorta di accesso esterno. MA allo stesso tempo, non dovrebbe essere comunque successo.
Quelle location potrebbero essere interessate da ransomware in esecuzione su un altro computer di dominio? In che altro modo potrebbero essere modificati quei file?