记录并请提供意见
昨天8点多,同事求救网络磁盘机中一个资料夹内的 doc 变 mp3
虽然不久前有看过此篇 http://www.techbang.com/posts/41437
不过我不是网管人员,知道就好,平时不会脑内演练
平时帮同事解决一些 Office 操作问题,一点也想不到有人会问我这个棘手问题
(平时角色只是协助网管,主要还是一直在换人的网管人员在管理)
(有些事情我不太知道,也就是说,我专打游击)
一开始还未意识到是勒索软件
把 mp3 改回、没用,点开、乱码,加 mp3 点开、WMP 认不出
(对,我用我自己的电脑点开 冏)
(有先用 Avira 免费版扫过,爬文后知道扫不到)
Google 关键字从“副档名 变 mp3”,此时找到本板文章
https://www.ptt.cc/bbs/AntiVirus/M.1455414238.A.3AD.html
嗯~勒索软件~(这时还未发觉有多严重)
注意到问题资料夹内档案被修改的时间为前天下午3点2X分
加上又发现上一层档案也开始被修改(昨天8点多)
X的,这时候开始害怕,觉得事情大条了!
一直反复修改关键字到“doc mp3 virus”,才找到一篇比较有系统的文章
http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-mp3-encrypted-files/
(缩网址 http://goo.gl/g4K5FY )
快11点,想找网管人员透过硬件防火墙的日志,追查是哪台电脑中了正在加密网络磁盘机
再把网络磁盘机关掉
但又想流量不大,或是太多台存取网络磁盘机,可能会浪费时间追查日志
就直接请网管人员关掉网络磁盘机,但网管人员只拔掉网络线(开着会持续感染吗?)
(这时网管人员给我登入防火墙的帐号密码)
(中午登入后一看,我的天啊! table 应该只是默认、日志也没开启、没有记录到8点多的)
(我知道1月底有换硬件防火墙这件事,但是没有设定就上线,很扯!)
因为不知道哪台电脑中了,这点让我觉得很头痛,每台电脑都要检查过,不能挂一漏万
下午开始从办公室电脑一台一台照下列步骤处理:
1)下载(不能从其他装置复制)、更新 SpyHunter
2)进入安全模式,用 SpyHunter 扫描(因为在安全模式,不知道能不能扫网络磁盘机)
2-1)没有扫到,标记 OK
2-2)扫到,到3)
3)请使用者检查哪些档案被感染,以便知道灾情多严重,还有哪些档案不能备份
(我看不懂 SpyHunter 扫后哪些是勒索软件感染的、哪些不是)
4)正常开机,用原本就有的防毒软件扫毒,一样请使用者检查哪些档案被感染
(没有的我会下载 Avira 免费版)
5)使用者备份正常档案
(我想要求使用者一个一个档案备份,不能整个资料夹备份)
6)重灌 Windows,最好整颗硬盘格式化,但是我知道不可能
7)安装软件防火墙,Comodo Firewall 免费版
(我很犹豫要不要装,对生手太烦人了,我也不想一直被问问题)
(但不装就没有 HIPS 来挡恶意软件)
8)安装防毒软件,我选择 Avira 免费版,毕竟我用至少快10年也熟悉
9)设定 BitLocker
(此举应只能减少灾情,打开的档案应也会被加密)
10) CloneZilla 系统碟(?)
(想做,之后有问题直接还原)
(但是好像没有太多储存空间,我手上只有1T随身硬盘,估有25台要处理)
11)标记 OK
机房内有硬件防火墙、网络磁盘机、网页服务器等3台Linux服务器,后续处理如下:
硬件防火墙:想先换回过保的旧的防火墙挡一下,或用到坏为止,至少有在把关
新的防火墙一定要设定好再上线
网络磁盘机:同电脑处理步骤,把正常档案备份出来
但我还在考虑要不要换到云端碟碟 Google Drive?
同步功能无法阻止覆蓋正常档案,Google Drive有单纯备份不覆蓋的功能吗?
Linux服务器:爬文知道也有针对 Linux 的勒索软件,但不知如何起手?
后续预防:
0)如果再遇到勒索软件,立即按关机(或是拔网络线也可以?)
1)评估云端硬盘,不再使用网络硬盘,各台电脑不开分享、各自独立
避免中毒后,持续扩大
2)准备干净但不储存重要档案的电脑,专门扫毒
3)教育训练,真的受不了浏览器跳出广告后
重灌系统还是因为习惯不好(或不知道自己在做什么),再度中毒
我非本科,平常也只看些软性资安文章
请不吝提供我意见,看看还有什么没有做到的
谢谢