• 3

關於勒索病毒的入侵管道

小弟今天處理公司 一台PC中了勒索病毒
檔案都遭到加密
這台PC 365天開機 平時也沒人會去使用 就單純用途是 用來分享檔案公用
OS 是 XP SP3 pro
有掛著TeamViewer 網路有對外 防毒是小紅傘
登入的狀態是COMMANDER最高權限 並不是一般受限制標準的使用者

公司額外有24台電腦 每台的登入權限 就是標準的使用者 也就是要裝任何軟體
都還是需要透過公司的mis 用commander帳號來安裝 另外還有一台Juniper防火牆
還有一台自架的MAIL Server os是linux

小弟想不懂的是如果是這24台其中A電腦中了勒索病毒的話 照理來說 應該是這個A電腦會先被加密
再來才是影響網芳的公共檔 會有可能直接先加密 網芳上的公共檔那台嗎
想了幾種可能的方式是
teamviewer 常駐開著 teamviewer走80port 結果被掃到 進而感染?
還是平時就有勒鎖病毒的檔案 不小心 放在公共檔內 但完全沒開啟的話會有可能嗎?
另外就是公司的mail server 一天大概要收15~20封的垃圾信 裡頭也夾帶滿多釣魚網址與.js的程式檔
會是固定ip被猜到進而從其他port進來嗎 Juniper防火牆已經關閉ping的功能了
還有一個可能是 前天有一台 可以上網的電腦 有開到一個網頁
突然就跳出 chrome滿意度問卷的廣告 但是並沒有完成問卷 當下網頁也要安裝可撥放的附加元件
但是也沒安裝就關掉了 這樣會有可能就產生後門嗎

最後除了勤備份以外
小弟想到 若不要再發生類似情況的話 不要登入commander 改由新增一般標準使用者
這樣可以防範檔案寫入c槽嗎?





2016-04-13 22:48 發佈
文章關鍵字 病毒 入侵管道
回答你喔:
1.別用無能傘做為主防毒
2.如果可以
XP請買:HitmanPro.Alert 或Malwarebyte Anti Exploit 防止漏洞入侵感染
Win 7請買:Kaspersky Endpoint Security 10 HitmanPro.Alert Malwarebyte Anti Ransomware
Win8-10請買:Kaspersky Endpoint Security 10 HitmanPro.Alert Malwarebyte Anti Ransomware

建議全公司禁用teamviewer 有後門 改用Chrome 遠端桌面 並加上亂數PIN碼
Mail Server 換Windows安裝 COMODO Firewall with Sandbox 並採用Kaspersky Endpoint Security 10

再把網芳改唯讀 叫USER用完中斷連線 禁止USB亂插 禁止exe執行 禁止.js檔案執行

使用Fortinet等有防毒的路由器
應是那24台有一台已中勒索病毒,它會去掃網芳有開共用,且有寫入權限的資料夾做加密,自己本身中的那台也會慢慢被加密的
小弟想不懂的是如果是這24台其中A電腦中了勒索病毒的話 照理來說 應該是這個A電腦會先被加密
再來才是影響網芳的公共檔 會有可能直接先加密 網芳上的公共檔那台嗎

這不一定喔,
我一個客戶也是發現SERVER有些分享資料夾檔案被加密(.crypt),
過去看時發現PC端都沒人反應有被加密導致無法使用的問題.
後來自然是所有電腦掃毒,
然後從SERVER分享資料夾權限反推有哪些帳號可能有問題,
最後抓到有中標的PC,
那台PC檔案都沒被加密可以正常使用,
從PC防毒軟體紀錄發現其實3天前就有攔截到可疑活動,
但是當攔截通知跳出,使用者卻直接關閉通知視窗而不是選隔離....
最後當然是從備份回復搞了很久.



根據個人經驗
1. 千萬別相信使用者說的話. 沒點病毒檔案. 沒亂開網頁 ,沒下載. 都別相信
2. 一發現被感染主機 首先建議先拔掉網路線. 查詢檔案擁有者. 那位就是中毒的電腦
3. 馬上把中毒電腦網路線拔掉. 就念使用者說 你害公司所有檔案被加密. 公司可能要倒退幾十年
4. 還原檔案

我是建議

1. 就算是 fileserver , 檔案權限也要區分到資料夾, 讓受害檔案減少
2. 防毒軟體我是認為對此病毒幾乎無用. 就算有擋到 ,對白癡使用者也照樣點選
3. 有開放檔案分享的. 要另外在備份. 每日,差異 等等方式 看你公司認為多重要
4. 多宣導吧~

allenchunwei wrote:
根據個人經驗1. ...(恕刪)


絕對有用!卡巴斯基端點+HitmanPro.Alert+Malwarebyte Anti Ransomware 這組合沒有任何注入勒索會被過
小弟找到問題了
果然是使用者問題
A電腦中毒 當天沒反應 小弟協助回復共用檔 因為很緊急
結果隔天又中 一查之下才發現 A電腦前天就被加密
善用卡巴斯基 程式控制功能

我因為 珍貴東西 都放在 e 和 f

d算是 快取資料

所以 c 和 d 全盤被惡意加密

也沒差 格式化就好


這設定 是可以有效嚇阻 勒索加密軟體



gtovskyo wrote:
小弟找到問題了果然...(恕刪)


結果 怎麼處理? 檔案都已經被加密了 系統還原嗎
這要怎麼用?我是 KIS 2016版的。
好想要DSLR喔!
  • 3
內文搜尋
X
評分
評分
複製連結
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?