AS
Может полка со снепшотами? 🙂
Size: a a a
2020 December 07
AS
Может ТП вендора чем поможет.
AS
Да там 1000+ пользователей и DFS и доменная авторка на 1С и SQL и пр.
Ну... Это печаль...
А
мне одно не совсем понятно, если они всю полку зашифровали, то у них доступ помимо админа АД был ...
А
И выглядит это как продуманый дизастер ...
А
тут кагбе СБ их должно включиться
AS
Просто взять и зашифровать полку... Это нифига не просто
AS
Это целенаправленно
ДЯ
ну почему? доступ на хост куда все хранилища на полке подключены. шифруй не хочу
ДЯ
или на хосты.
AS
Я самые простые полки видел EMC VNX 5100, туда хрен залезть рядовой администратор СХД. Он может только менеджить разделами
ДЯ
ну вот хост на котором все разделы подключены. в чем проблема ?
ДЯ
и всякие фичи позволяющие откатится на полке могут быть отключены/не включены
AS
Если раздел выделен гипервизору, то нужно смотреть как там это реализовано у МС, у esxi фс блокирует доступ к файлам ВМ(конфиги и дата), если используются.
ДЯ
ну по идее тоже должна блокировать
AS
Тогда не понятно указание на то, что раздел стал Рав.
AS
Значит для удобства он/они были подключены к какому то хосту напрямую. Типа, а чего месту пропадать...
AS
А хост этот стал инициатором заражения.
AS
Виндовс позволяет делать грязь до сих пор... Не помню как правильно, но что то типа отложенных файловых операций. Возможно заражение было произведено ранее, а применилось после перезапуска полки... Например.... Гадание на кофейной гуще
А
Я конечно не великий спец, но мне непонятно как имея так мало информации делать какие-либо выводы и предположения о характере инцидента и о возможности восстановления. Мы даже архитектуры тамошней толком не знаем.