Re: [閒聊] ...快被勒索病毒搞瘋了

看板MIS (IT資訊人員)作者musicpei520 (立川IT)時間8年前 (2016/06/06 16:06)推噓6(6推 0噓 14→)

留言20則, 8人參與討論串5/7 (看更多)

不好意思小弟想請教各位前輩一下因為小弟有在幾台重要的 FileServer 啟用了 Volume Shadow Copy Service (磁碟區陰影複製服務) 所以幾個重要分享槽可以隨時復原回 shadow copy 的時段但是因為還沒有使用分享槽中毒的案例發生 (目前的案例都是筆電、PC自己的local 槽被加密) 小弟也不確定如果真的發生文件加密了是否能從shadow copy 的過去版本撈回資料? (病毒應該不會強大到連過去板本也加密吧?) 請問一下板上的前輩們是否有使用 shadow copy 的服務成功在勒索病毒的攻擊下救回資料呢? 感謝大家 ※ 引述《kujo (Pisces)》之銘言： : ※ 引述《rock5101437 (Ketrich)》之銘言： : : 從今年ㄧ月計算至今，我已經處理了7次的勒索病毒案件，各位大大有沒有今年還沒處理 : : 過的呀 : : 這種勒索病毒有潛伏期，有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的 : : 可以分享ㄧ下治毒之道嗎QQ : 呃, 我這應該算案件交流.... : 我們廠內第一筆勒索病毒是在去年年底 : 還是我們MIS team內同仁先中的....XDDD : 到目前為止陸陸續續已經有九例的案子 : 但在廠內發生的大概有五例 : 其他四個是出差或在家用時中的 (NB使用者) : 目前已知來源就是 : 1. mail : - mail的部份, 點開來就會自動執行和從網路上下載其他程式 : 且反查DNS的記錄也沒用, 因為它們的資料都是偽造或失效的 : - 基本上Firewall和IPS 都是無法做有效隔絕 : - Mail SPAM的防毒功能大概只能隔絕90%的病毒信件, 幾乎每天都有一堆病毒信 : - 防毒嘛...我家OA是用Microsoft的防毒, 效果大家都知道, 但現在有偵測通知 : - 基本上有通知, 我們第一線就叩user 拔網路線了 : - 拔完再過去看災情 : - 若沒救的, 我們就直接告訴user要格式化重做系統 : - 如果是主管階級的, 還是看一下有沒有資料可以救, 能救還是要救 : 2. 網頁上的Link或廣告 : - 這部份user的回覆幾乎都是沒有點或滑過去, 防毒就跳出Alert了 : - 這個是比較大的潛在危機, 雖然我們已經有過濾一堆網站了 : 但還是有使用者透過網站感染, 而且使用者行為我們無法預期 : - 如mail的處理方式, 如果看到Alert, 就叩使用者拔網路 : 不過, 有的Alert是使用者在家使用的記錄, 等上班到公司再看到時 : 已經是沒救了........XDDDDD : 我們現在廠內的做法是持續每週公告, 請使用者避免點來路不明的mail : 網站的部份也只能請使用者上班時間避免看其他與工作無相關的網站 : 最後, 告訴使用者如果感染病毒, MIS和公司也不會付錢贖回資料 : 請使用者將公司的資料, 儘量放在公司的公用磁碟機上 : 我的想法是這類型的病毒, 只能跟使用者不斷教育 : 讓他們的使用者行為有所調整, 才是根本的做法 : 否則, 現行的種類變化很快 : 防毒軟體和所謂的沙箱軟體還是有其一定的防護限制 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 113.160.202.113 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1465200369.A.44E.html

推

Tormentor

06/06 16:14, , 1^F

06/06 16:14, 1^F

→

musicpei520

06/06 16:24, , 2^F

06/06 16:24, 2^F

※ 編輯: musicpei520 (113.160.203.149), 06/06/2016 17:12:25

推

chang0206

06/06 17:28, , 3^F