Re: [閒聊] ...快被勒索病毒搞瘋了

作者: musicpei520 (立川IT)   2016-06-06 16:06:07
不好意思 小弟想請教各位前輩一下
因為小弟有在幾台重要的 FileServer 啟用了 Volume Shadow Copy Service
(磁碟區陰影複製服務)
所以幾個重要分享槽 可以隨時復原回 shadow copy 的時段
但是因為還沒有使用分享槽中毒的案例發生
(目前的案例都是筆電、PC自己的local 槽被加密)
小弟也不確定 如果真的發生文件加密了 是否能從shadow copy 的過去版本撈回資料?
(病毒應該不會強大到連過去板本也加密吧?)
請問一下板上的前輩們 是否有使用 shadow copy 的服務
成功在勒索病毒的攻擊下 救回資料呢?
感謝大家
※ 引述《kujo (Pisces)》之銘言:
: ※ 引述《rock5101437 (Ketrich)》之銘言:
: : 從今年ㄧ月計算至今,我已經處理了7次的勒索病毒案件,各位大大有沒有今年還沒處理
: : 過的呀
: : 這種勒索病毒有潛伏期,有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的
: : 可以分享ㄧ下治毒之道嗎QQ
: 呃, 我這應該算案件交流....
: 我們廠內第一筆勒索病毒是在去年年底
: 還是我們MIS team內同仁先中的....XDDD
: 到目前為止陸陸續續已經有九例的案子
: 但在廠內發生的大概有五例
: 其他四個是出差或在家用時中的 (NB使用者)
: 目前已知來源就是
: 1. mail
: - mail的部份, 點開來就會自動執行和從網路上下載其他程式
: 且反查DNS的記錄也沒用, 因為它們的資料都是偽造或失效的
: - 基本上Firewall和IPS 都是無法做有效隔絕
: - Mail SPAM的防毒功能大概只能隔絕90%的病毒信件, 幾乎每天都有一堆病毒信
: - 防毒嘛...我家OA是用Microsoft的防毒, 效果大家都知道, 但現在有偵測通知
: - 基本上有通知, 我們第一線就叩user 拔網路線了
: - 拔完再過去看災情
: - 若沒救的, 我們就直接告訴user要格式化重做系統
: - 如果是主管階級的, 還是看一下有沒有資料可以救, 能救還是要救
: 2. 網頁上的Link或廣告
: - 這部份user的回覆幾乎都是沒有點或滑過去, 防毒就跳出Alert了
: - 這個是比較大的潛在危機, 雖然我們已經有過濾一堆網站了
: 但還是有使用者透過網站感染, 而且使用者行為我們無法預期
: - 如mail的處理方式, 如果看到Alert, 就叩使用者拔網路
: 不過, 有的Alert是使用者在家使用的記錄, 等上班到公司再看到時
: 已經是沒救了........XDDDDD
: 我們現在廠內的做法是持續每週公告, 請使用者避免點來路不明的mail
: 網站的部份也只能請使用者上班時間避免看其他與工作無相關的網站
: 最後, 告訴使用者如果感染病毒, MIS和公司也不會付錢贖回資料
: 請使用者將公司的資料, 儘量放在公司的公用磁碟機上
: 我的想法是這類型的病毒, 只能跟使用者不斷教育
: 讓他們的使用者行為有所調整, 才是根本的做法
: 否則, 現行的種類變化很快
: 防毒軟體和所謂的沙箱軟體還是有其一定的防護限制
作者: Tormentor   2016-06-06 16:14:00
有些第一步就是把shadow copy給砍了,這方法不是很穩
作者: musicpei520 (立川IT)   2016-06-06 16:24:00
驚!!!! 好吧 我的fileserver 有自動backup
作者: chang0206 (Eric Chang)   2016-06-06 17:28:00
記得一開始的這類型病毒就會去關VSS了
作者: asdfghjklasd (好累的大一生活)   2016-06-06 18:06:00
這要是有用VES 是要賣什麼東西?
作者: Dino9021 (Dino9021)   2016-06-06 18:08:00
沒有server權限無法砍掉vss吧?
作者: trumpete (流浪)   2016-06-06 18:11:00
XD 所以樓上的意思是 VSS 被病毒砍了應該是MIS在用Server 上網或幹壞事之類的吧 XDDDDDD話說 以前抓到底下一個IT用administrator帳號收發信 >"<
作者: Dino9021 (Dino9021)   2016-06-06 19:54:00
對啊,理論上管理帳號跟平常用的帳號是分開的,不同的server也有不同的帳號,domain administrator 也不該拿來用只是.......
作者: voodist (小蟲)   2016-06-06 20:31:00
除非有一定規模的公司 會管控admin帳號其餘的 大概都是直接用admin帳號在做事吧= =
作者: susicat (壽司貓)   2016-06-07 01:12:00
我真的很討厭用admin做事情的人,每次查log都看到一堆...完全無法判斷是否是異常情況,後來我情願累一點每個service都獨立分開帳號來執行...=.=另外就是同是很愛用administrator登入,講了幾百次了...之後一怒之下改密碼,只有我跟主管知道
作者: trumpete (流浪)   2016-06-07 08:38:00
這次勒索病毒也是看權限加密 權限越大 加密範圍越大吧

Links booklink

Contact Us: admin [ a t ] ucptt.com