報告處理經過 主要為被 SpyHunter 掃出威脅的主機重灌作業系統 並且安裝 Comodo firewall 和設定 firewall & HIPS(未開啟沙箱) 還有看看硬體防火牆內部設定 硬體防火牆內部設定不敢亂動，中間發現有俄羅斯和中國的 IP 試圖登入防火牆 也意外發現應該把關資訊安全的網管人員長期在 BT 下載影片，也不清楚試圖登入的狀況 尤其中勒索軟體後還是照常 BT，讓我非常憤怒 3月2x日和其中一台主機的使用者討論 Comodo 的運作機制時 覺得心虛，認為當時的設定並無法防範勒索軟體 趁著週末繼續找資料，也從本板得知 cruelsister1 有一堆的測試影片 https://www.ptt.cc/bbs/AntiVirus/M.1458238525.A.719.html 然後一直看一直看，直到看到這部影片 https://www.youtube.com/watch?v=vndaOa15bPg cruelsister1 強烈建議開啟 Comodo 的自動沙箱功能 原因在這篇推文 mayuyu 大解釋得非常清楚 https://www.ptt.cc/bbs/AntiVirus/M.1460337529.A.73B.html 但是我和使用者再討論後，使用者認為 cruelsister1 建議的設定太過強大 啟用 Auto-Sandbox 取消勾選 Do not virtualize access to the specified files/folders 設定 Set Restriction Level 為 Untrusted (影片內有相關畫面) 這樣造成在沙箱跑的程式所產生的檔案無法儲存在沙箱外，沙箱結束後，檔案也消失了 我也解釋在沙箱內主要觀察程式的行為，沒有問題後再另外設定讓程式在沙箱外跑 這也讓我覺得實在是太自找麻煩了，我本身可以這樣設定，其他人不見得可以 所以我自己定調了，硬體防火牆要強，時時更新，內部網路的主機安裝防毒即可 接下來就是去看硬體防火牆，後續前面有說明了 不過我還是建議開啟沙箱 PS. 另外 cruelsister1 測試 WinAntiRansom 防勒索軟體還未失手，只不過它要付費 ※ 引述《fema (Currahee)》之銘言： : 記錄並請提供意見 : 昨天8點多，同事求救網路磁碟機中一個資料夾內的 doc 變 mp3 : 雖然不久前有看過此篇 http://www.techbang.com/posts/41437 : 不過我不是網管人員，知道就好，平時不會腦內演練 : 平時幫同事解決一些 Office 操作問題，一點也想不到有人會問我這個棘手問題 : (平時角色只是協助網管，主要還是一直在換人的網管人員在管理) : (有些事情我不太知道，也就是說，我專打游擊) : 一開始還未意識到是勒索軟體 : 把 mp3 改回、沒用，點開、亂碼，加 mp3 點開、WMP 認不出 : (對，我用我自己的電腦點開 冏) : (有先用 Avira 免費版掃過，爬文後知道掃不到) : Google 關鍵字從「副檔名 變 mp3」，此時找到本板文章 : https://www.ptt.cc/bbs/AntiVirus/M.1455414238.A.3AD.html : 嗯~勒索軟體~(這時還未發覺有多嚴重) : 注意到問題資料夾內檔案被修改的時間為前天下午3點2X分 : 加上又發現上一層檔案也開始被修改(昨天8點多) : X的，這時候開始害怕，覺得事情大條了! : 一直反覆修改關鍵字到「doc mp3 virus」，才找到一篇比較有系統的文章 : http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-mp3-encrypted-files/ : (縮網址 http://goo.gl/g4K5FY ) : 快11點，想找網管人員透過硬體防火牆的日誌，追查是哪台電腦中了正在加密網路磁碟機 : 再把網路磁碟機關掉 : 但又想流量不大，或是太多台存取網路磁碟機，可能會浪費時間追查日誌 : 就直接請網管人員關掉網路磁碟機，但網管人員只拔掉網路線(開著會持續感染嗎?) : (這時網管人員給我登入防火牆的帳號密碼) : (中午登入後一看，我的天啊! table 應該只是預設、日誌也沒開啟、沒有記錄到8點多的) : (我知道1月底有換硬體防火牆這件事，但是沒有設定就上線，很扯!) : 因為不知道哪台電腦中了，這點讓我覺得很頭痛，每台電腦都要檢查過，不能掛一漏萬 : 下午開始從辦公室電腦一台一台照下列步驟處理： : 1)下載(不能從其他裝置複製)、更新 SpyHunter : 2)進入安全模式，用 SpyHunter 掃描(因為在安全模式，不知道能不能掃網路磁碟機) : 2-1)沒有掃到，標記 OK : 2-2)掃到，到3) : 3)請使用者檢查哪些檔案被感染，以便知道災情多嚴重，還有哪些檔案不能備份 : (我看不懂 SpyHunter 掃後哪些是勒索軟體感染的、哪些不是) : 4)正常開機，用原本就有的防毒軟體掃毒，一樣請使用者檢查哪些檔案被感染 : (沒有的我會下載 Avira 免費版) : 5)使用者備份正常檔案 : (我想要求使用者一個一個檔案備份，不能整個資料夾備份) : 6)重灌 Windows，最好整顆硬碟格式化，但是我知道不可能 : 7)安裝軟體防火牆，Comodo Firewall 免費版 : (我很猶豫要不要裝，對生手太煩人了，我也不想一直被問問題) : (但不裝就沒有 HIPS 來擋惡意軟體) : 8)安裝防毒軟體，我選擇 Avira 免費版，畢竟我用至少快10年也熟悉 : 9)設定 BitLocker : (此舉應只能減少災情，打開的檔案應也會被加密) : 10) CloneZilla 系統碟(?) : (想做，之後有問題直接還原) : (但是好像沒有太多儲存空間，我手上只有1T隨身硬碟，估有25台要處理) : 11)標記 OK : 機房內有硬體防火牆、網路磁碟機、網頁伺服器等3台Linux伺服器，後續處理如下： : 硬體防火牆：想先換回過保的舊的防火牆擋一下，或用到壞為止，至少有在把關 : 新的防火牆一定要設定好再上線 : 網路磁碟機：同電腦處理步驟，把正常檔案備份出來 : 但我還在考慮要不要換到雲端碟碟 Google Drive? : 同步功能無法阻止覆蓋正常檔案，Google Drive有單純備份不覆蓋的功能嗎? : Linux伺服器：爬文知道也有針對 Linux 的勒索軟體，但不知如何起手? : 後續預防： : 0)如果再遇到勒索軟體，立即按關機(或是拔網路線也可以?) : 1)評估雲端硬碟，不再使用網路硬碟，各台電腦不開分享、各自獨立 : 避免中毒後，持續擴大 : 2)準備乾淨但不儲存重要檔案的電腦，專門掃毒 : 3)教育訓練，真的受不了瀏覽器跳出廣告後 : 重灌系統還是因為習慣不好(或不知道自己在做什麼)，再度中毒 : 我非本科，平常也只看些軟性資安文章 : 請不吝提供我意見，看看還有什麼沒有做到的 : 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.176.189.163 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1460901289.A.FD1.html 沒有最扯，只有更扯 沒什麼，基本功 (咦~真正的網管在看 BT 影片) 沒掰，而且從說破後，我就沒有再碰硬體防火牆 說破隔天早上還假惺惺問我網路磁碟機使用者帳號的問題 還在另一台他不常用的主機，想登入硬體防火牆，還輸入錯誤的帳號密碼 當場被我噹，他信任他不常用的主機嗎? 不怕 keystroke logging 嗎? 不說了，跟本板無關 我和網管身分不同，哭哭 ※ 編輯: fema (180.176.189.163), 04/18/2016 22:05:19 這些使用者無知居多，也只能笑笑 中勒索軟體後的228三天連假，我想了一套預防計畫，其中之一就是對每個人做教育訓練 如果再發生，就是直接「問候他們家長與列祖列宗」 (引用 http://www.ithome.com.tw/tech/101366 處理7原則 fb 使用者的回應 XD) 可是，這個網管是明知故犯吶! 魚與熊掌不可兼得(安全和方便) ※ 編輯: fema (180.176.189.163), 04/19/2016 19:32:07