記錄並請提供意見
昨天8點多，同事求救網路磁碟機中一個資料夾內的 doc 變 mp3
雖然不久前有看過此篇 http://www.techbang.com/posts/41437
不過我不是網管人員，知道就好，平時不會腦內演練
平時幫同事解決一些 Office 操作問題，一點也想不到有人會問我這個棘手問題
(平時角色只是協助網管，主要還是一直在換人的網管人員在管理)
(有些事情我不太知道，也就是說，我專打游擊)
一開始還未意識到是勒索軟體
把 mp3 改回、沒用，點開、亂碼，加 mp3 點開、WMP 認不出
(對，我用我自己的電腦點開 冏)
(有先用 Avira 免費版掃過，爬文後知道掃不到)
Google 關鍵字從「副檔名 變 mp3」，此時找到本板文章
https://www.ptt.cc/bbs/AntiVirus/M.1455414238.A.3AD.html
嗯~勒索軟體~(這時還未發覺有多嚴重)
注意到問題資料夾內檔案被修改的時間為前天下午3點2X分
加上又發現上一層檔案也開始被修改(昨天8點多)
X的，這時候開始害怕，覺得事情大條了!
一直反覆修改關鍵字到「doc mp3 virus」，才找到一篇比較有系統的文章
http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-mp3-encrypted-files/
(縮網址 http://goo.gl/g4K5FY )
快11點，想找網管人員透過硬體防火牆的日誌，追查是哪台電腦中了正在加密網路磁碟機
再把網路磁碟機關掉
但又想流量不大，或是太多台存取網路磁碟機，可能會浪費時間追查日誌
就直接請網管人員關掉網路磁碟機，但網管人員只拔掉網路線(開著會持續感染嗎?)
(這時網管人員給我登入防火牆的帳號密碼)
(中午登入後一看，我的天啊! table 應該只是預設、日誌也沒開啟、沒有記錄到8點多的)
(我知道1月底有換硬體防火牆這件事，但是沒有設定就上線，很扯!)
因為不知道哪台電腦中了，這點讓我覺得很頭痛，每台電腦都要檢查過，不能掛一漏萬
下午開始從辦公室電腦一台一台照下列步驟處理：
1)下載(不能從其他裝置複製)、更新 SpyHunter
2)進入安全模式，用 SpyHunter 掃描(因為在安全模式，不知道能不能掃網路磁碟機)
2-1)沒有掃到，標記 OK
2-2)掃到，到3)
3)請使用者檢查哪些檔案被感染，以便知道災情多嚴重，還有哪些檔案不能備份
(我看不懂 SpyHunter 掃後哪些是勒索軟體感染的、哪些不是)
4)正常開機，用原本就有的防毒軟體掃毒，一樣請使用者檢查哪些檔案被感染
(沒有的我會下載 Avira 免費版)
5)使用者備份正常檔案
(我想要求使用者一個一個檔案備份，不能整個資料夾備份)
6)重灌 Windows，最好整顆硬碟格式化，但是我知道不可能
7)安裝軟體防火牆，Comodo Firewall 免費版
(我很猶豫要不要裝，對生手太煩人了，我也不想一直被問問題)
(但不裝就沒有 HIPS 來擋惡意軟體)
8)安裝防毒軟體，我選擇 Avira 免費版，畢竟我用至少快10年也熟悉
9)設定 BitLocker
(此舉應只能減少災情，打開的檔案應也會被加密)
10) CloneZilla 系統碟(?)
(想做，之後有問題直接還原)
(但是好像沒有太多儲存空間，我手上只有1T隨身硬碟，估有25台要處理)
11)標記 OK
機房內有硬體防火牆、網路磁碟機、網頁伺服器等3台Linux伺服器，後續處理如下：
硬體防火牆：想先換回過保的舊的防火牆擋一下，或用到壞為止，至少有在把關
新的防火牆一定要設定好再上線
網路磁碟機：同電腦處理步驟，把正常檔案備份出來
但我還在考慮要不要換到雲端碟碟 Google Drive?
同步功能無法阻止覆蓋正常檔案，Google Drive有單純備份不覆蓋的功能嗎?
Linux伺服器：爬文知道也有針對 Linux 的勒索軟體，但不知如何起手?
後續預防：
0)如果再遇到勒索軟體，立即按關機(或是拔網路線也可以?)
1)評估雲端硬碟，不再使用網路硬碟，各台電腦不開分享、各自獨立
避免中毒後，持續擴大
2)準備乾淨但不儲存重要檔案的電腦，專門掃毒
3)教育訓練，真的受不了瀏覽器跳出廣告後
重灌系統還是因為習慣不好(或不知道自己在做什麼)，再度中毒
我非本科，平常也只看些軟性資安文章
請不吝提供我意見，看看還有什麼沒有做到的
謝謝

小紅傘版上有中獎案例的樣子 找即時防護+防火牆系統更新到最新 瀏覽器裝擋廣告 flash Java更新到最新flash設定禁用或允許才啟用鑽進來的途徑大多為OS Flash Java漏洞

關貴公司防火牆啥事？

病毒通常會在個人端 連接切斷就會停止拔網路是切斷病毒與加密主機的連線 網路接回去就會繼續加密防火牆設定攔阻這方面我就不清楚了

一旦開始加密拔掉網路線也沒用啊…網路只有在最初開始加密前與攻擊方伺服器交換密鑰時需要，所以一旦加密行為開始之後直接關機應該是比較好的做法，認真懷疑拔網路線也不會停止@@

小技巧: 你去看產生出來的檔案 html txt，看一下 owner是誰 大概就可以猜出來是誰加密的了，除非你們公司權限控管得很差，不然八九不離十靠這樣都可以找的到源頭

防火牆如果正常行為的連線都要記錄 log檔應該會很龐大如果中毒後有一直對外連線的話 弄台機器 生台hub 跑個sniffer 設個過濾字串 看有沒有比較快知道哪些台中標

防火牆應該沒甚麼用 他開始加密後都是正常管道了翻log是可以試著找出到底是哪台電腦中了

真心覺得最好的管理是 還原卡 重開機就乾淨了網域一發現感染 通告所有電腦重新開機

http://ahasoft.blogspot.tw/2009/03/deep-freeze.html軟體還原便宜點 先統計大家要用的軟體 離線安裝後就輕鬆了

要設定防火牆白名單不是不可行 問題是資訊單位扛得住?不管是增加的LOADING，又或者是使用者的靠邀？

怎麼覺得從防火牆的方向著手沒什麼效率啊重點是你的防毒軟體根本就抓不到病毒啊結果還是繼續用同一套而且就算你當初沒換防火牆，這次中毒還是會發生啊檔案還是會被加密。勒索軟體又不是駭客，並不是透過網路上的漏洞攻進來的。是使用者自己點到或瀏覽到的

給個建議，不要用網芳存取網路磁碟機直接架個網頁版介面強制使用網頁存取呢？