Re: [閒聊] ...快被勒索病毒搞瘋了 SWU PTT批踢踢實業坊

Re: [閒聊] ...快被勒索病毒搞瘋了

作者: SWU ( ) 2016-06-05 12:30:59

※ 引述《rock5101437 (Ketrich)》之銘言：
: 從今年ㄧ月計算至今，我已經處理了7次的勒索病毒案件，各位大大有沒有今年還沒處理
: 過的呀
: 這種勒索病毒有潛伏期，有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的
: 可以分享ㄧ下治毒之道嗎QQ
我也分享一下我們的案例
我們大都是透過mail
使用者點了奇怪的mail附件後
覺得電腦慢慢的
之後就看到一堆.locky的檔案了
不過在防毒部分加強.js的排除
目前幾乎沒聽到了
處理辦法看來大家都差不多
都是和使用者宣告死刑
然後盡可能的救資料
.pst的部分因為加密時outliok大都還開啟
所以都可以完整救出
另外還會用acronis完整備份一次
等待日後有新的技術可以還原

作者: eric00169 (eric) 2016-06-05 13:38:00

之前公司是看到.ace的附檔名結果同仁點下去中CRYT1...

作者: rock5101437 (Ketrich) 2016-06-05 19:13:00

公司spam是附加檔案含js字串隔離，寧可誤殺的概念..

作者: archidecter 2016-06-05 19:16:00

.vbs也請注意~~~~

作者: lu760423 (è…¦è¢‹çˆ›æŽ‰äº†) 2016-06-05 21:23:00

我現在是.ZIP全檔...真的是寧可誤殺

作者: kujo (Pisces) 2016-06-05 23:16:00

因為我們公司TPAS有用到.js的檔案, 所以不能擋...XDD

作者: gsm60kimo (超導體) 2016-06-06 01:46:00

請問將Windows Script Host 工具停用<=是否可有效防堵?

作者: wantsleep (汪凸死立普╰(‵皿′)╯) 2016-06-06 07:59:00

也想知道樓上的方法是否有效？有執行但沒測試過

作者: chang0206 (Eric Chang) 2016-06-06 09:20:00

有點好奇，為何不把js/vbs/scr這類附加檔案給擋掉？

作者: roujuu (è€ä¸) 2016-06-13 22:10:00

「.ace」不是出自於『 http://www.winace.com/ 』這家德國公司嗎？

繼續閱讀

Re: [閒聊] ...快被勒索病毒搞瘋了kujo [閒聊] ...快被勒索病毒搞瘋了rock5101437 Re: [請益] Windows Server 2012 升級成R2wuhujohn Re: [請益] Windows Server 2012 升級成R2AskaSu [徵才] 徵MIS工程師 (月薪45K-55K一年約聘)CPOCDD [請益] Windows Server 2012 升級成R2wuhujohn Re: [請益] 為什麼企業要搞內外帳？sopoor [活動] IT上的好康事sopoor Re: [請益] VMware VDI 設置amtb [請益] Checkpoint 1100系列如何 NAT多IP對外呢soheadsome