近期因为 WannaCry 太夯了,导致公司大头们都相当紧张,
虽然小弟跟大伙保证,公司绝对没问题,不用担心
但是大家还是一副草木皆兵的样子,只要有发生电脑有状况
就一定要最高规格处理,连分公司有状况都要去看...
不过,却意外发现最近公司内部接连发生档案被加密,但没被勒索
想当然耳,当然是中了勒索,只不过对外连线目的端的中继站被FW挡了
所以同仁接收不到勒索汇款的画面。
被加密的档案副档名均变更为16进位,看起来就等于4位数的英数字
详查evenlog,可以发现中标的源头为随身碟,里面有个脚本档.hta(隐藏档)
应该为cerber勒索软件的变种,凶手随身碟均有被带回家使用,所以无法确实追查源头
给大家参考,也请教各位先进,这可能是上了哪些网站论坛而中标?要拿来宣导使用。