[閒聊] ...快被勒索病毒搞瘋了

看板MIS (IT資訊人員)作者 (Ketrich)時間8年前 (2016/06/05 00:56), 編輯推噓12(12034)
留言46則, 13人參與, 最新討論串1/7 (看更多)
從今年ㄧ月計算至今,我已經處理了7次的勒索病毒案件,各位大大有沒有今年還沒處理 過的呀 這種勒索病毒有潛伏期,有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的 可以分享ㄧ下治毒之道嗎QQ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.13.115 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1465059406.A.5FD.html

06/05 04:16, , 1F
?7次的感染途徑是什麼?
06/05 04:16, 1F

06/05 17:25, , 2F
Palo Alto可以阻擋KEY回傳,可以讓整個加密不成功
06/05 17:25, 2F

06/05 19:02, , 3F
感染途徑通常沒有一個user會告訴你的...
06/05 19:02, 3F

06/05 19:04, , 4F
請教D大PaloAlto的設定方式!!因剛好公司也用同型
06/05 19:04, 4F

06/05 19:22, , 5F
大家聽到使用者的回答第一名應該都是:我甚麼都沒做啊。
06/05 19:22, 5F

06/05 19:29, , 6F
USER的話能信?
06/05 19:29, 6F

06/05 21:06, , 7F
回R大我是沒用他們家,不過參加研討會原廠有展示這一塊
06/05 21:06, 7F

06/05 21:24, , 8F
結果同型的沒買他的模組xd...
06/05 21:24, 8F

06/05 21:30, , 9F
模組不清楚~我只知道後續MA口頭報價一年要十萬 = =
06/05 21:30, 9F

06/05 23:47, , 10F
不就把CNC server的IP跟URL列在黑名單裡過濾掉不是嗎?
06/05 23:47, 10F

06/05 23:50, , 11F
這功能在palo alto就叫wildfire,license另計一年收一次
06/05 23:50, 11F

06/05 23:51, , 12F
會每年收錢是因為他們要花心力研究並維護黑名單
06/05 23:51, 12F

06/05 23:52, , 13F
畢竟惡意軟體跟惡意網站是一直在更新還有變動的
06/05 23:52, 13F

06/06 09:18, , 14F
人家肯花心力研究,買個LICENSE SUPPORT一下不錯啊
06/06 09:18, 14F

06/06 15:11, , 15F
我處理三次 兩次付錢救回 一次擴散不大砍掉重練
06/06 15:11, 15F

06/06 15:32, , 16F
哇!!! 有付錢救回的案例了!!
06/06 15:32, 16F

06/06 15:53, , 17F
因為兩次都是弄到nas好幾萬個檔超過1tb 先跟他們講付錢不一定
06/06 15:53, 17F

06/06 15:53, , 18F
救的回 然後拿錢去全家買比特幣付了後解藥就來了然後就解了~
06/06 15:53, 18F

06/06 22:59, , 19F
我是支持Palo Alto所以有去了解跟問
06/06 22:59, 19F

06/06 22:59, , 20F
06/06 22:59, 20F

06/06 23:00, , 21F
不過一般企業能付的起這種MA不多
06/06 23:00, 21F

06/07 07:48, , 22F
說實話,花不起錢要不就不要開公司,要不就不要上網
06/07 07:48, 22F

06/07 07:48, , 23F
花不起錢那是什麼理由,那些錢那比的上機台設備
06/07 07:48, 23F

06/07 07:49, , 24F
那比的上老闆的進口名車
06/07 07:49, 24F

06/07 11:59, , 25F
每家公司資訊預算都不一樣,並不是每家公司都用的起PaloAl
06/07 11:59, 25F

06/07 11:59, , 26F
to,不然就不會有其他品牌Fortigate、Cyberoam等,這與買
06/07 11:59, 26F

06/07 11:59, , 27F
不起PaloAlto開不開的起公司無直接關係。
06/07 11:59, 27F

06/07 12:00, , 28F
今天這個平台是討論技術,你在哪裡扯花不起就不要開公司,
06/07 12:00, 28F

06/07 12:00, , 29F
是在有偏離主題,貴公司花的起就去買,幹嘛戰別人花不起就
06/07 12:00, 29F

06/07 12:00, , 30F
不要開公司
06/07 12:00, 30F

06/09 09:49, , 31F
我們的主力是pfSense,有建議的設定嗎?
06/09 09:49, 31F

06/09 16:46, , 32F
一般來講,能在防火牆上面做的大概就網址過濾或阻擋某
06/09 16:46, 32F

06/09 16:47, , 33F
些檔案類型的下載(如果可以在防火牆做)
06/09 16:47, 33F

06/09 16:48, , 34F
配合某些專門提供惡意網站清單的組織(可能免費或收費)
06/09 16:48, 34F

06/09 16:49, , 35F
定期更新黑名單做阻擋
06/09 16:49, 35F

06/09 16:50, , 36F
另外pfsense也能整合snort(open source的IPS)等
06/09 16:50, 36F

06/09 16:51, , 37F
都可以強化這方面的能力,但是要怎調校眾多rule就得自己
06/09 16:51, 37F

06/09 16:51, , 38F
想辦法了
06/09 16:51, 38F

06/09 16:53, , 39F
其實光在防火牆上要阻擋勒索軟體還是很有限的
06/09 16:53, 39F

06/10 07:54, , 40F
我們擋中國,俄羅斯。其他再列一些下載或遊戲網站的黑
06/10 07:54, 40F

06/10 07:54, , 41F
名單。
06/10 07:54, 41F

06/10 09:29, , 42F
樓上檔的網站並不是針對加密勒索軟體CNC server,只是
06/10 09:29, 42F

06/10 10:09, , 43F
高風險網站
06/10 10:09, 43F

06/10 10:12, , 44F
要針對CNC server,免費的方式就是自行上網搜尋
06/10 10:12, 44F

06/10 10:13, , 45F
不然就是如前面所說,找個廠商購買服務
06/10 10:13, 45F

06/22 22:07, , 46F
我不敢亂回 我怕回了就遇到..
06/22 22:07, 46F
文章代碼(AID): #1NKmXENz (MIS)
討論串 (同標題文章)
文章代碼(AID): #1NKmXENz (MIS)