报告处理经过
主要为被 SpyHunter 扫出威胁的主机重灌作业系统
并且安装 Comodo firewall 和设定 firewall & HIPS(未开启沙箱)
还有看看硬件防火墙内部设定
硬件防火墙内部设定不敢乱动,中间发现有俄罗斯和中国的 IP 试图登入防火墙
也意外发现应该把关资讯安全的网管人员长期在 BT 下载影片,也不清楚试图登入的状况
尤其中勒索软件后还是照常 BT,让我非常愤怒
3月2x日和其中一台主机的使用者讨论 Comodo 的运作机制时
觉得心虚,认为当时的设定并无法防范勒索软件
趁著周末继续找资料,也从本板得知 cruelsister1 有一堆的测试影片
https://www.ptt.cc/bbs/AntiVirus/M.1458238525.A.719.html
然后一直看一直看,直到看到这部影片
https://www.youtube.com/watch?v=vndaOa15bPg
cruelsister1 强烈建议开启 Comodo 的自动沙箱功能
原因在这篇推文 mayuyu 大解释得非常清楚
https://www.ptt.cc/bbs/AntiVirus/M.1460337529.A.73B.html
但是我和使用者再讨论后,使用者认为 cruelsister1 建议的设定太过强大
启用 Auto-Sandbox
取消勾选 Do not virtualize access to the specified files/folders
设定 Set Restriction Level 为 Untrusted
(影片内有相关画面)
这样造成在沙箱跑的程式所产生的档案无法储存在沙箱外,沙箱结束后,档案也消失了
我也解释在沙箱内主要观察程式的行为,没有问题后再另外设定让程式在沙箱外跑
这也让我觉得实在是太自找麻烦了,我本身可以这样设定,其他人不见得可以
所以我自己定调了,硬件防火墙要强,时时更新,内部网络的主机安装防毒即可
接下来就是去看硬件防火墙,后续前面有说明了
不过我还是建议开启沙箱
PS. 另外 cruelsister1 测试 WinAntiRansom 防勒索软件还未失手,只不过它要付费
※ 引述《fema (Currahee)》之铭言:
: 记录并请提供意见
: 昨天8点多,同事求救网络磁盘机中一个资料夹内的 doc 变 mp3
: 虽然不久前有看过此篇 http://www.techbang.com/posts/41437
: 不过我不是网管人员,知道就好,平时不会脑内演练
: 平时帮同事解决一些 Office 操作问题,一点也想不到有人会问我这个棘手问题
: (平时角色只是协助网管,主要还是一直在换人的网管人员在管理)
: (有些事情我不太知道,也就是说,我专打游击)
: 一开始还未意识到是勒索软件
: 把 mp3 改回、没用,点开、乱码,加 mp3 点开、WMP 认不出
: (对,我用我自己的电脑点开 冏)
: (有先用 Avira 免费版扫过,爬文后知道扫不到)
: Google 关键字从“副档名 变 mp3”,此时找到本板文章
: https://www.ptt.cc/bbs/AntiVirus/M.1455414238.A.3AD.html
: 嗯~勒索软件~(这时还未发觉有多严重)
: 注意到问题资料夹内档案被修改的时间为前天下午3点2X分
: 加上又发现上一层档案也开始被修改(昨天8点多)
: X的,这时候开始害怕,觉得事情大条了!
: 一直反复修改关键字到“doc mp3 virus”,才找到一篇比较有系统的文章
: http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-mp3-encrypted-files/
: (缩网址 http://goo.gl/g4K5FY )
: 快11点,想找网管人员透过硬件防火墙的日志,追查是哪台电脑中了正在加密网络磁盘机
: 再把网络磁盘机关掉
: 但又想流量不大,或是太多台存取网络磁盘机,可能会浪费时间追查日志
: 就直接请网管人员关掉网络磁盘机,但网管人员只拔掉网络线(开着会持续感染吗?)
: (这时网管人员给我登入防火墙的帐号密码)
: (中午登入后一看,我的天啊! table 应该只是默认、日志也没开启、没有记录到8点多的)
: (我知道1月底有换硬件防火墙这件事,但是没有设定就上线,很扯!)
: 因为不知道哪台电脑中了,这点让我觉得很头痛,每台电脑都要检查过,不能挂一漏万
: 下午开始从办公室电脑一台一台照下列步骤处理:
: 1)下载(不能从其他装置复制)、更新 SpyHunter
: 2)进入安全模式,用 SpyHunter 扫描(因为在安全模式,不知道能不能扫网络磁盘机)
: 2-1)没有扫到,标记 OK
: 2-2)扫到,到3)
: 3)请使用者检查哪些档案被感染,以便知道灾情多严重,还有哪些档案不能备份
: (我看不懂 SpyHunter 扫后哪些是勒索软件感染的、哪些不是)
: 4)正常开机,用原本就有的防毒软件扫毒,一样请使用者检查哪些档案被感染
: (没有的我会下载 Avira 免费版)
: 5)使用者备份正常档案
: (我想要求使用者一个一个档案备份,不能整个资料夹备份)
: 6)重灌 Windows,最好整颗硬盘格式化,但是我知道不可能
: 7)安装软件防火墙,Comodo Firewall 免费版
: (我很犹豫要不要装,对生手太烦人了,我也不想一直被问问题)
: (但不装就没有 HIPS 来挡恶意软件)
: 8)安装防毒软件,我选择 Avira 免费版,毕竟我用至少快10年也熟悉
: 9)设定 BitLocker
: (此举应只能减少灾情,打开的档案应也会被加密)
: 10) CloneZilla 系统碟(?)
: (想做,之后有问题直接还原)
: (但是好像没有太多储存空间,我手上只有1T随身硬盘,估有25台要处理)
: 11)标记 OK
: 机房内有硬件防火墙、网络磁盘机、网页服务器等3台Linux服务器,后续处理如下:
: 硬件防火墙:想先换回过保的旧的防火墙挡一下,或用到坏为止,至少有在把关
: 新的防火墙一定要设定好再上线
: 网络磁盘机:同电脑处理步骤,把正常档案备份出来
: 但我还在考虑要不要换到云端碟碟 Google Drive?
: 同步功能无法阻止覆蓋正常档案,Google Drive有单纯备份不覆蓋的功能吗?
: Linux服务器:爬文知道也有针对 Linux 的勒索软件,但不知如何起手?
: 后续预防:
: 0)如果再遇到勒索软件,立即按关机(或是拔网络线也可以?)
: 1)评估云端硬盘,不再使用网络硬盘,各台电脑不开分享、各自独立
: 避免中毒后,持续扩大
: 2)准备干净但不储存重要档案的电脑,专门扫毒
: 3)教育训练,真的受不了浏览器跳出广告后
: 重灌系统还是因为习惯不好(或不知道自己在做什么),再度中毒
: 我非本科,平常也只看些软性资安文章
: 请不吝提供我意见,看看还有什么没有做到的
: 谢谢