Re: [心得] 中了勒索病毒处理

楼主: arsehole (又骑又磨姿势且佳)   2020-07-30 00:51:02
※ 引述《leecoco (小白是黄色滴)》之铭言:
: 推 paul0303: 接下来,请问有何方法,预防这问题不再发生,又防毒&安 07/28 06:50
: → paul0303: 全轪体都无效吗,谢谢 07/28 06:50
这类事件就跟每年要打的流感疫苗一样,每年都不一样
问题不会不再发生,只是基本的措施要做,能"降低"发生的机率
: 推 kaihon: 请教有知道是怎么中的吗? 07/28 08:34
: 我后来发现一个帐号的资料夹早在2018年4月就被植入.SO程式码...
: 应该是从个人电脑 网芳进去加密的...
不好判断,这类有可能是Script被中之后,对外去连恶意服务器,慢慢将恶意档载下来
: → dennisxkimo: 你只能朝降低发生率 以及 发生了 如何让损失降最低 07/28 13:06
: → dennisxkimo: 牺牲很多 都不见得能达到"不再发生" 07/28 13:07
: → dennisxkimo: 公司资料 只花 三千五 零用金水准 已经很好了 07/28 13:08
: 推 wakana0916: 这很便宜 07/28 15:07
我也觉得很便宜,朋友去装牙套的牙医诊所被加密,患者跟病历还有教学资料全部加密
付出了二十万赎金才解掉。
: 推 cbunsg: 因为公司无法用比特币交易吧 07/28 20:26
: → AndCycle: 最近新闻 QNAP 被绑的案例很多, 07/28 21:01
: → AndCycle: QNAP 更新又属于手动的, 有对外没更新真的很容易中 07/28 21:02
: → dennisxkimo: 看NAS讨论区 不少NAS裸奔族的... 07/28 21:57
两大NAS都有中奖过的机率,不过最大的中奖机率是user电脑权限没设
网络磁盘用file share每个人权限都是可以Read write,只要一台中奖
几乎资料夹无可幸免全中。
: ※ 编辑: leecoco (220.133.219.10 台湾), 07/29/2020 21:48:18
: → leecoco: 目前考虑做快照+云端备份了 有听说NAS被打穿快照也GG 07/29 21:49
: → leecoco: 希望有更好的防止方法 他们办公室都需要存取SHARE资料夹 07/29 21:51
: → leecoco: 六个帐号各有资料夹存取NAS 也会有交叉存取的情况 07/29 21:51
: → leecoco: 是不是做快照+异地NAS做累加备份是最佳解? 07/29 21:52
这个就看老板愿意花多少钱在这边了,云端备份不是不可以,只是备份的资料量
会随着日积月累,多个历史版本要留多久,资料会不会倍增,快照要几小时做?
之前帮非营利组织做过类似的案子,偏乡地带没有要接,人数约十人左右
电脑台数也是这种规模,他们也没买NAS,他们用的就是这类设备
https://chinese.vrzone.com/wp-content/uploads/2013/10/wdfMyCloud-2.jpg
就想像成外接硬盘有网络孔可以用,这类只要硬盘挂了资料就挂了,连raid的功能都没有
以下是免费的方法,由简单到难开始做
1.使用者电脑设定权限
如果没有AD,这类小公司买电脑下来之后,根本不会刻意去设定权限,可能连重灌都没有
直接默认,品牌电脑默认都是admin等级,请将所有使用者帐号密码设成user
不要让使用者可以任意安装软件,由专人负责admin权限安装软件
因为你无法控制使用者上什么网站、点什么连结、安装什么软件
很多恶意档案都可以像yoyodiy大叔一样绕过UAC,使用者根本发觉不知道自己装了什么鬼
2.NAS分享档案不要直接用file share
如果是S牌的,他们有Drive 可以调整同步,也可以调整同步的档案格式
Q牌的也有,有点忘记了,不知道是不是nextcloud
简单来讲,用File share的方法,你每个使用者都是可读可写,只要一台中奖
直接把他电脑上所有的file全部加密,当然网络磁盘槽也一并去了。
3.防毒软件要装
用其他家品牌free Antivirus,有点软的不是不能用
只是更新速度更慢,free Antivirus虽然更新慢,不过比微软稍微快一点
我也觉得防毒软件用处不是太大,免费的用处更不大,当然AntiVirus版
一直被水桶的大神只要是XP可以安装可以更新的防毒软件,装了就万无一失了
当然防毒软件是成本最低的资安投资,但也是最基础最低的资讯安全底线
4.NAS对外连线要关闭
如同dennisxkimo兄说的,开对外服务通常都是找死,比较高阶的NAS
还可以在前面加个虚拟交换器或虚拟机,比较不会直接暴露在网络上
有一些还有L4的Firewall功能,聊胜于无。
5.free UTM Firewall
这点我觉得一般小企业不太可能实现的,因为要有相关背景的来弄,才有办法架起来
用一台老电脑架两张网卡,就可以做到Free UTM Firewall,至少控管上
可以做到URL Filter、Prevention System、Anti-spyware等等系列,各家名称不一样
比较有名的free utm firewall,有这几家
Endian、pfSense、OPNSense,没经验或没概念的架起来有点苦手
好一点的用Sophos XG Firewall Home Edition,至少是中文有教学,水管上某网工班
也有基本教学影片,但Sophos严格来讲不能用在商业上,二来人数超过50人的限制
不过硬件sophos的free 版本限制在双核心+4G,用到五十人以上应该也会挂,当然人数
50人以上,请老板花钱找SI厂商做资安吧。
以上是免费的方法,付费的方法之前有帮非营利组织做过,不过有点晚了,明天再来打 
作者: LANFAR (白羽)   2020-07-30 07:36:00
作者: lokikevin (limited)   2020-07-30 08:13:00
推 认真 用心
作者: kaihon (遇心与诚)   2020-07-30 09:18:00
推推!!
作者: leecoco (小白是黄色滴)   2020-07-30 09:29:00
感谢大大经验分享!!
作者: e369585   2020-07-30 11:31:00
优质好文
作者: chang0206 (Eric Chang)   2020-07-30 13:47:00
NAS如果能改用file station 把剩下没用的都关掉 大概就解决了一大半,但是使用者习惯才是最难改的小公司我想也没那个预算去做异地备份,简单点就用外接硬盘,备份完就拔掉。把快照功能打开(要算一下容量有一招有用但很笨的方式 每天把要备份的资料 用winrar
作者: aegis43210 (宇宙)   2020-07-31 01:48:00
推好文
作者: chang0206 (Eric Chang)   2020-07-31 09:19:00
我倒认为做了这些,但是不改正操作习惯 还是一样中
作者: popolili (joyjoy)   2020-08-01 01:34:00
谢谢
作者: DPP48 (DPP48)   2020-08-01 11:36:00
结果高阶主管要求开防火墙权限就......
作者: junorn (威廉华勒斯)   2020-08-01 21:23:00
我家小公司老板不想花钱就弄了台PC叫我弄备份...原本还只是丢一颗外接硬盘0rz,后来就装了CENTOS用rsync的方式每天定时从Server复制资料到那台PC上...然后我自己有空的时候在做同步去让他自动删除档案,这样倒也救了两次重要使用者的资料...之前没弄的时候帮每个都在跟我要资料到哪去生给他们-.-...

Links booklink

Contact Us: admin [ a t ] ucptt.com