Re: [閒聊] ...快被勒索病毒搞瘋了

作者: kujo (Pisces)   2016-06-05 10:04:22
※ 引述《rock5101437 (Ketrich)》之銘言:
: 從今年ㄧ月計算至今,我已經處理了7次的勒索病毒案件,各位大大有沒有今年還沒處理
: 過的呀
: 這種勒索病毒有潛伏期,有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的
: 可以分享ㄧ下治毒之道嗎QQ
呃, 我這應該算案件交流....
我們廠內第一筆勒索病毒是在去年年底
還是我們MIS team內同仁先中的....XDDD
到目前為止陸陸續續已經有九例的案子
但在廠內發生的大概有五例
其他四個是出差或在家用時中的 (NB使用者)
目前已知來源就是
1. mail
- mail的部份, 點開來就會自動執行和從網路上下載其他程式
且反查DNS的記錄也沒用, 因為它們的資料都是偽造或失效的
- 基本上Firewall和IPS 都是無法做有效隔絕
- Mail SPAM的防毒功能大概只能隔絕90%的病毒信件, 幾乎每天都有一堆病毒信
- 防毒嘛...我家OA是用Microsoft的防毒, 效果大家都知道, 但現在有偵測通知
- 基本上有通知, 我們第一線就叩user 拔網路線了
- 拔完再過去看災情
- 若沒救的, 我們就直接告訴user要格式化重做系統
- 如果是主管階級的, 還是看一下有沒有資料可以救, 能救還是要救
2. 網頁上的Link或廣告
- 這部份user的回覆幾乎都是沒有點或滑過去, 防毒就跳出Alert了
- 這個是比較大的潛在危機, 雖然我們已經有過濾一堆網站了
但還是有使用者透過網站感染, 而且使用者行為我們無法預期
- 如mail的處理方式, 如果看到Alert, 就叩使用者拔網路
不過, 有的Alert是使用者在家使用的記錄, 等上班到公司再看到時
已經是沒救了........XDDDDD
我們現在廠內的做法是持續每週公告, 請使用者避免點來路不明的mail
網站的部份也只能請使用者上班時間避免看其他與工作無相關的網站
最後, 告訴使用者如果感染病毒, MIS和公司也不會付錢贖回資料
請使用者將公司的資料, 儘量放在公司的公用磁碟機上
我的想法是這類型的病毒, 只能跟使用者不斷教育
讓他們的使用者行為有所調整, 才是根本的做法
否則, 現行的種類變化很快
防毒軟體和所謂的沙箱軟體還是有其一定的防護限制
作者: blackhippo (PH6.0 微.酸民)   2016-06-05 10:31:00
作者: trumpete (流浪)   2016-06-05 10:43:00
推!!!
作者: wantsleep (汪凸死立普╰(‵皿′)╯)   2016-06-05 10:54:00
看來大家的做法都差不多
作者: wr (~~)   2016-06-05 12:45:00
小心你們的公用磁碟機...
作者: voodist (小蟲)   2016-06-05 13:51:00
公用磁碟機 不小心就是大家一起死= =
作者: ppon (我可以跳著說嗎)   2016-06-05 17:13:00
你沒有提到 有些是在家上一些嗯嗯啊啊的網站中的
作者: lu760423 (腦袋爛掉了)   2016-06-05 18:25:00
真的是只能用教育的方式...
作者: rock5101437 (Ketrich)   2016-06-05 19:08:00
謝謝..每個禮拜發Mail似乎是唯一解xDDDclient電腦重灌不麻煩,麻煩是還原fileserver資料>"<超想罰他們一個月不准上外網
作者: kujo (Pisces)   2016-06-05 23:00:00
公用磁碟槽就是備份的時程要注意...XDDD加上我們file server有by 部門控管權限, 所以還好

Links booklink

Contact Us: admin [ a t ] ucptt.com