小弟前公司今年一二月份的時候有某個使用者，
只是為了做簡報去查需要的圖片，路徑是:
Google圖片 -> 跳到該網頁瀏覽圖片 -> 在瀏覽網站時中了可能廣告內的勒索加密病毒
(上述是根據與使用者"深度"訪談後，我們所得到的結論)
結果我們公司的"Public"網路磁碟(全公司共用)中的"某個資料夾"內檔案通通被加密了，
且有在該資料夾下放置一張Bitcoin匯款的圖片
會抓出是那個使用者，是因為他的電腦同時間也有本地的資料夾內檔案被加密
第一時間我們就是把那台電腦斷網關機
但我們最怕的事情是在我們控管的網域內"同樣的勒索軟體"再發生一次一模一樣的事故
各位資安先進前輩們，有無推薦的辦法在"事後"查出具體上是:
(1)哪個網站(ex.IP address/FQDN...)?
知道的話就可以設為防火牆黑名單
(2)透過哪種媒介(ex.Memory,Weaponized File,Email Phishing Link...)?
>>如果要從Email Link下手的話，
我們可以調的到他的所有雲端和本地端的郵件
最大的問題問題是要用甚麼工具去查?如何查?查出來有意義嗎?
知道的話就可叫大家刪除此信以免誤點擊並設黑名單
(3)在我們斷網關機前，加密勒索軟體有沒有可能已經把自己偷偷備份到某個硬碟位置?
還是說勒索軟體都是存在記憶體裡，關機後都會自動消失好讓我們查不到?
知道的話就可以避免其他使用者誤觸同樣的勒索軟體

1.你設不完(不是射不完，射不完聽起來有點可怕)2.同樣，你黨不完 3.都有可能 你沒拿到source code就不會知道人家是怎麼寫的簡單來說，用黑名單機制去過濾，基本上是不牢靠的祈禱user 不腦殘去那些連結，也是沒有意義的所以咧，身為資訊人員能做的就是顧好SERVER上的資料每天異質異地的備份一定要做等到真有USER中了，這時候就看你跟USER的交情了...

投資在提高備份可靠性與還原效率 減少downtime給出上級交代的防治作為 只是降低機率 不代表免疫

您問使用者,是沒用的,中毒又不是上發作,黑名單您設多少了user如果說的出來,就不是普通的user,備份是回家唯一的路

這句講的好 備份是回家唯一的路

我家的fortinet有抓到對外連線有問題並且直接封鎖

一樓wwwwwwwwwww

好天真，好可愛

我又想到一個好詞:不備份,唯一的路就是回家(吃自己)

樓上幽默 適合拍廣告 XDDDDD

除公司主管說我笨,所有同事說我:公司最聰明的130人企業最近很多女性朋友都被老公打,想要離婚,我也受理被打請播113家暴專線,不要怕家醜外揚好不好,都快被打死了