[閒聊] ...快被勒索病毒搞瘋了

作者: rock5101437 (Ketrich)   2016-06-05 00:56:44
從今年ㄧ月計算至今,我已經處理了7次的勒索病毒案件,各位大大有沒有今年還沒處理
過的呀
這種勒索病毒有潛伏期,有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的
可以分享ㄧ下治毒之道嗎QQ
作者: wantsleep (汪凸死立普╰(‵皿′)╯)   2016-06-05 04:16:00
?7次的感染途徑是什麼?
作者: D02217 (獨自生活)   2016-06-05 17:25:00
Palo Alto可以阻擋KEY回傳,可以讓整個加密不成功
作者: rock5101437 (Ketrich)   2016-06-05 19:02:00
感染途徑通常沒有一個user會告訴你的...請教D大PaloAlto的設定方式!!因剛好公司也用同型
作者: miacp ( )   2016-06-05 19:22:00
大家聽到使用者的回答第一名應該都是:我甚麼都沒做啊。
作者: littlecut (我會畫圖會更糟糕)   2016-06-05 19:29:00
USER的話能信?
作者: D02217 (獨自生活)   2016-06-05 21:06:00
回R大我是沒用他們家,不過參加研討會原廠有展示這一塊
作者: lu760423 (腦袋爛掉了)   2016-06-05 21:24:00
結果同型的沒買他的模組xd...
作者: D02217 (獨自生活)   2016-06-05 21:30:00
模組不清楚~我只知道後續MA口頭報價一年要十萬 = =
作者: deadwood (T_T)   2016-06-05 23:47:00
不就把CNC server的IP跟URL列在黑名單裡過濾掉不是嗎?這功能在palo alto就叫wildfire,license另計一年收一次會每年收錢是因為他們要花心力研究並維護黑名單畢竟惡意軟體跟惡意網站是一直在更新還有變動的
作者: chang0206 (Eric Chang)   2016-06-06 09:18:00
人家肯花心力研究,買個LICENSE SUPPORT一下不錯啊
作者: JCC (JCC )   2016-06-06 15:11:00
我處理三次 兩次付錢救回 一次擴散不大砍掉重練
作者: trumpete (流浪)   2016-06-06 15:32:00
哇!!! 有付錢救回的案例了!!
作者: JCC (JCC )   2016-06-06 15:53:00
因為兩次都是弄到nas好幾萬個檔超過1tb 先跟他們講付錢不一定救的回 然後拿錢去全家買比特幣付了後解藥就來了然後就解了~
作者: D02217 (獨自生活)   2016-06-06 22:59:00
我是支持Palo Alto所以有去了解跟問想不過一般企業能付的起這種MA不多
作者: asdfghjklasd (好累的大一生活)   2016-06-07 07:48:00
說實話,花不起錢要不就不要開公司,要不就不要上網花不起錢那是什麼理由,那些錢那比的上機台設備那比的上老闆的進口名車
作者: D02217 (獨自生活)   2016-06-07 11:59:00
每家公司資訊預算都不一樣,並不是每家公司都用的起PaloAlto,不然就不會有其他品牌Fortigate、Cyberoam等,這與買不起PaloAlto開不開的起公司無直接關係。今天這個平台是討論技術,你在哪裡扯花不起就不要開公司,是在有偏離主題,貴公司花的起就去買,幹嘛戰別人花不起就不要開公司
作者: galoislee   2016-06-09 09:49:00
我們的主力是pfSense,有建議的設定嗎?
作者: deadwood (T_T)   2016-06-09 16:46:00
一般來講,能在防火牆上面做的大概就網址過濾或阻擋某些檔案類型的下載(如果可以在防火牆做)配合某些專門提供惡意網站清單的組織(可能免費或收費)定期更新黑名單做阻擋另外pfsense也能整合snort(open source的IPS)等都可以強化這方面的能力,但是要怎調校眾多rule就得自己想辦法了其實光在防火牆上要阻擋勒索軟體還是很有限的
作者: galoislee   2016-06-10 07:54:00
我們擋中國,俄羅斯。其他再列一些下載或遊戲網站的黑名單。
作者: deadwood (T_T)   2016-06-10 09:29:00
樓上檔的網站並不是針對加密勒索軟體CNC server,只是高風險網站要針對CNC server,免費的方式就是自行上網搜尋不然就是如前面所說,找個廠商購買服務
作者: ncueBenson (nuceBenson29)   2016-06-22 22:07:00
我不敢亂回 我怕回了就遇到..

Links booklink

Contact Us: admin [ a t ] ucptt.com