小弟今天處理公司 一台PC中了勒索病毒
檔案都遭到加密
這台PC 365天開機 平時也沒人會去使用 就單純用途是 用來分享檔案公用
OS 是 XP SP3 pro
有掛著TeamViewer 網路有對外 防毒是小紅傘
登入的狀態是COMMANDER最高權限 並不是一般受限制標準的使用者
公司額外有24台電腦 每台的登入權限 就是標準的使用者 也就是要裝任何軟體
都還是需要透過公司的mis 用commander帳號來安裝 另外還有一台Juniper防火牆
還有一台自架的MAIL Server os是linux
小弟想不懂的是如果是這24台其中A電腦中了勒索病毒的話 照理來說 應該是這個A電腦會先被加密
再來才是影響網芳的公共檔 會有可能直接先加密 網芳上的公共檔那台嗎
想了幾種可能的方式是
teamviewer 常駐開著 teamviewer走80port 結果被掃到 進而感染?
還是平時就有勒鎖病毒的檔案 不小心 放在公共檔內 但完全沒開啟的話會有可能嗎?
另外就是公司的mail server 一天大概要收15~20封的垃圾信 裡頭也夾帶滿多釣魚網址與.js的程式檔
會是固定ip被猜到進而從其他port進來嗎 Juniper防火牆已經關閉ping的功能了
還有一個可能是 前天有一台 可以上網的電腦 有開到一個網頁
突然就跳出 chrome滿意度問卷的廣告 但是並沒有完成問卷 當下網頁也要安裝可撥放的附加元件
但是也沒安裝就關掉了 這樣會有可能就產生後門嗎
最後除了勤備份以外
小弟想到 若不要再發生類似情況的話 不要登入commander 改由新增一般標準使用者
這樣可以防範檔案寫入c槽嗎?
1.別用無能傘做為主防毒
2.如果可以
XP請買:HitmanPro.Alert 或Malwarebyte Anti Exploit 防止漏洞入侵感染
Win 7請買:Kaspersky Endpoint Security 10 HitmanPro.Alert Malwarebyte Anti Ransomware
Win8-10請買:Kaspersky Endpoint Security 10 HitmanPro.Alert Malwarebyte Anti Ransomware
建議全公司禁用teamviewer 有後門 改用Chrome 遠端桌面 並加上亂數PIN碼
Mail Server 換Windows安裝 COMODO Firewall with Sandbox 並採用Kaspersky Endpoint Security 10
再把網芳改唯讀 叫USER用完中斷連線 禁止USB亂插 禁止exe執行 禁止.js檔案執行
使用Fortinet等有防毒的路由器
再來才是影響網芳的公共檔 會有可能直接先加密 網芳上的公共檔那台嗎
這不一定喔,
我一個客戶也是發現SERVER有些分享資料夾檔案被加密(.crypt),
過去看時發現PC端都沒人反應有被加密導致無法使用的問題.
後來自然是所有電腦掃毒,
然後從SERVER分享資料夾權限反推有哪些帳號可能有問題,
最後抓到有中標的PC,
那台PC檔案都沒被加密可以正常使用,
從PC防毒軟體紀錄發現其實3天前就有攔截到可疑活動,
但是當攔截通知跳出,使用者卻直接關閉通知視窗而不是選隔離....
最後當然是從備份回復搞了很久.
內文搜尋

X