小弟前公司今年一二月份的时候有某个使用者，
只是为了做简报去查需要的图片，路径是:
Google图片 -> 跳到该网页浏览图片 -> 在浏览网站时中了可能广告内的勒索加密病毒
(上述是根据与使用者"深度"访谈后，我们所得到的结论)
结果我们公司的"Public"网络磁盘(全公司共用)中的"某个资料夹"内档案通通被加密了，
且有在该资料夹下放置一张Bitcoin汇款的图片
会抓出是那个使用者，是因为他的电脑同时间也有本地的资料夹内档案被加密
第一时间我们就是把那台电脑断网关机
但我们最怕的事情是在我们控管的网域内"同样的勒索软件"再发生一次一模一样的事故
各位资安先进前辈们，有无推荐的办法在"事后"查出具体上是:
(1)哪个网站(ex.IP address/FQDN...)?
知道的话就可以设为防火墙黑名单
(2)透过哪种媒介(ex.Memory,Weaponized File,Email Phishing Link...)?
>>如果要从Email Link下手的话，
我们可以调的到他的所有云端和本地端的邮件
最大的问题问题是要用什么工具去查?如何查?查出来有意义吗?
知道的话就可叫大家删除此信以免误点击并设黑名单
(3)在我们断网关机前，加密勒索软件有没有可能已经把自己偷偷备份到某个硬盘位置?
还是说勒索软件都是存在内存里，关机后都会自动消失好让我们查不到?
知道的话就可以避免其他使用者误触同样的勒索软件

1.你设不完(不是射不完，射不完听起来有点可怕)2.同样，你党不完 3.都有可能 你没拿到source code就不会知道人家是怎么写的简单来说，用黑名单机制去过滤，基本上是不牢靠的祈祷user 不脑残去那些连结，也是没有意义的所以咧，身为资讯人员能做的就是顾好SERVER上的资料每天异质异地的备份一定要做等到真有USER中了，这时候就看你跟USER的交情了...

投资在提高备份可靠性与还原效率 减少downtime给出上级交代的防治作为 只是降低机率 不代表免疫

您问使用者,是没用的,中毒又不是上发作,黑名单您设多少了user如果说的出来,就不是普通的user,备份是回家唯一的路

这句讲的好 备份是回家唯一的路

我家的fortinet有抓到对外连线有问题并且直接封锁

一楼wwwwwwwwwww

好天真，好可爱

我又想到一个好词:不备份,唯一的路就是回家(吃自己)

楼上幽默 适合拍广告 XDDDDD

除公司主管说我笨,所有同事说我:公司最聪明的130人企业最近很多女性朋友都被老公打,想要离婚,我也受理被打请播113家暴专线,不要怕家丑外扬好不好,都快被打死了