推 Klauhal: 小紅傘版上有中獎案例的樣子 找即時防護+防火牆 02/27 17:23
→ Klauhal: 系統更新到最新 瀏覽器裝擋廣告 flash Java更新到最新 02/27 17:25
→ Klauhal: flash設定禁用或允許才啟用 02/27 17:26
→ Klauhal: 鑽進來的途徑大多為OS Flash Java漏洞 02/27 17:27
差點忘了 flash、java,我打算不安裝,使用者要裝自行負責
(不過中了,我也不能負責/不會解密就是)
感謝K大提醒
預定 Avira 免費版 + Comodo Firewall 的配置
用小紅傘是因為我最熟悉,如果用其他防毒,我還要花時間研究設定
還有其他防毒好上手的嗎? BitDefender?
文中兩個「?」
1)網路磁碟機只拔網路線,網路磁碟機內部硬碟還會持續感染嗎?
2)電腦中了勒索軟體,只拔網路線,會阻止電腦內部感染嗎?
※ 編輯: fema (180.176.189.163), 02/27/2016 19:14:50
推 chang0206: 關貴公司防火牆啥事? 02/27 19:28
應該這麼說吧,因為勒索軟體讓我知道硬體防火牆沒有設定好就上線
我計畫的一連串步驟不只針對勒索軟體
一開始知道防火牆沒有設定,的確讓我有錯誤認知
^^^^^^^^
爬文知道,大概去年11月有一波,那時還是
舊防火牆,新防火牆不到一個月就中勒索軟體
→ Klauhal: 病毒通常會在個人端 連接切斷就會停止 02/27 20:11
這次因為對勒索軟體認識不夠深,沒有立即請使用者關閉電腦
→ Klauhal: 拔網路是切斷病毒與加密主機的連線 網路接回去就會繼續加 02/27 20:14
→ Klauhal: 密 02/27 20:14
如果這麼說的話,可以設定硬體防火牆規則阻止連線嗎?
爬文也有類似的問題,但沒有解答
※ 編輯: fema (180.176.189.163), 02/27/2016 20:26:10
→ Klauhal: 防火牆設定攔阻這方面我就不清楚了 02/27 21:09
→ cg6445: 一旦開始加密拔掉網路線也沒用啊…網路只有在最初開始加密 02/28 01:59
→ cg6445: 前與攻擊方伺服器交換密鑰時需要,所以一旦加密行為開始之 02/28 01:59
→ cg6445: 後直接關機應該是比較好的做法,認真懷疑拔網路線也不會停 02/28 01:59
→ cg6445: 止@@ 02/28 01:59
嗯~對~發現副檔名變成 mp3,再拔網路線就來不及,立即關機才能避免擴大
另外,上班後,我要研究舊防火牆的規則,或許有設定白名單
※ 編輯: fema (180.176.189.163), 02/28/2016 08:41:41
推 mathrew: 小技巧: 你去看產生出來的檔案 html txt,看一下 owner 02/28 09:22
→ mathrew: 是誰 大概就可以猜出來是誰加密的了,除非你們公司權限 02/28 09:23
→ mathrew: 控管得很差,不然八九不離十靠這樣都可以找的到源頭 02/28 09:23
感謝,後續預防會加入權限控管。
對,現在控管很差。
自首一下,雖然我是協助角色,但是設定登入帳號時,有時貪圖方便,都設定同一個。冏
※ 編輯: fema (180.176.189.163), 02/28/2016 11:58:17
推 bymee: 防火牆如果正常行為的連線都要記錄 log檔應該會很龐大 02/28 12:50
推 bymee: 如果中毒後有一直對外連線的話 弄台機器 生台hub 跑個 02/28 12:56
→ bymee: sniffer 設個過濾字串 看有沒有比較快知道哪些台中標 02/28 12:57
之前工作有玩過 Wireshark,但7年多沒有用了
我會和網管人員說以後 sniffer 看看(希望不會再遇到)
※ 編輯: fema (180.176.189.163), 02/28/2016 19:18:30
推 blackwindy: 防火牆應該沒甚麼用 他開始加密後都是正常管道了 02/28 20:25
→ blackwindy: 翻log是可以試著找出到底是哪台電腦中了 02/28 20:25
各位可以往防火牆連線白名單方向思考嗎?
如果勒索軟體一定需要連向密鑰主機,主機不在防火牆白名單內就無法連線
這樣應該可以預防大部分的勒索軟體吧?
算了,當我沒說,比起安裝軟體防火牆,設定硬體防火牆白名單會接到更多客訴
※ 編輯: fema (180.176.189.163), 02/28/2016 21:25:27
推 abramtw: 真心覺得最好的管理是 還原卡 重開機就乾淨了 02/29 17:00
推 abramtw: 網域一發現感染 通告所有電腦重新開機 02/29 17:05
絕! 但個人使用的軟體還要重新安裝、重頭設定,而且還要花錢買還原卡。
※ 編輯: fema (180.176.189.163), 02/29/2016 20:40:31
→ abram: 軟體還原便宜點 先統計大家要用的軟體 離線安裝後就輕鬆了 03/01 09:50
https://goo.gl/KK1QP5
這是舊硬體防火牆設定的規則,紅圈處是我認為可能擋住勒索軟體向外連線的規則
不過我對防火牆設定不是太了解,請各位指教
推 chang0206: 要設定防火牆白名單不是不可行 問題是資訊單位扛得住? 03/01 17:12
→ chang0206: 不管是增加的LOADING,又或者是使用者的靠邀? 03/01 17:12
推 louis925: 怎麼覺得從防火牆的方向著手沒什麼效率啊 03/05 07:37
→ louis925: 重點是你的防毒軟體根本就抓不到病毒啊 03/05 07:37
→ louis925: 結果還是繼續用同一套 03/05 07:38
→ louis925: 而且就算你當初沒換防火牆,這次中毒還是會發生啊 03/05 07:39
→ louis925: 檔案還是會被加密。勒索軟體又不是駭客,並不是透過 03/05 07:40
→ louis925: 網路上的漏洞攻進來的。是使用者自己點到或瀏覽到的 03/05 07:41
推 ids93216: 給個建議,不要用網芳存取網路磁碟機 03/16 14:10
→ ids93216: 直接架個網頁版介面強制使用網頁存取呢? 03/16 14:10
※ 編輯: fema (180.176.186.104), 12/25/2018 20:20:11