[請益] Crypt0L0cker

作者lu760423 (腦袋爛掉了)

看板MIS

標題[請益] Crypt0L0cker

時間Wed Jun 17 18:53:33 2015

看到標題應該不少人覺得事態嚴重了... 目前查到的資訊有可能從郵件或是網頁，並非屬於會擴散傳染的。今天也驗證...一個沒有信箱的同事中了，導致網路磁碟資料夾掛一堆! 趕快先用昨天的還原，結果下午不少同事的pst檔馬上被鎖@Q@! 小弟下午又請假回診...這可真是大事情了... 不知道先進們有沒有什麼資訊或方法可以提供... 這真的是跪求了Q.Q.... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.151.175 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1434538416.A.6BC.html

推 INSISTBELIEF: 從備份回復或者付錢了事 06/17 19:32

推 INSISTBELIEF: 全家可以買比特幣，大約需要16k台票 06/17 19:38

主管很淡定的跟我說...看來災情有擴大。去查了一下今天中獎的同事外來郵件紀錄，都是正常信件... 看來不是私人信箱就是網頁~真是無言呀! ※ 編輯: lu760423 (122.116.151.175), 06/17/2015 19:42:45

推 asdfghjklasd: 麻煩花錢做管制,謝謝.不要用土砲的方法. 06/17 20:42

推 Forgotsome: 趁機要求花錢導入防火牆跟防毒維護阿～～備份跟網路 06/17 20:48

→ Forgotsome: 升級也是一定要的，哈哈哈 06/17 20:48

我去年剛進來，因為某主管需求...不小心把EX2003弄的不穩定，然後今年就有EX2013和備份軟體，順便偷新虛擬化... 難道再用這一次xd~ 可是這個事情有什麼設備可以防範? 感覺使用者最難防啊~ ※ 編輯: lu760423 (122.116.151.175), 06/17/2015 20:53:37

推 asdfghjklasd: 一堆設備啊,UTM Firewall ,APT Firewall 06/17 20:59

→ asdfghjklasd: DLP , Anti-Virus , BACKUP ,DR 06/17 20:59

→ asdfghjklasd: 隨便想就都有一堆 06/17 21:00

熊熊想到一件事情... 上級開了一個很奇特的要求 a team人員只能收發mail對(外部)客戶b team，但不能將信件轉寄至公司內部。但a team人員要可以跟公司內部持續個人業務信件往來~ 我想到只有...開一個a team新帳號，然後郵件存在server上，這樣有辦法設定a team專用的mail傳輸路徑只對(外部)客戶b team嗎? ※ 編輯: lu760423 (122.116.151.175), 06/17/2015 21:07:29

推 asdfghjklasd: 有這種系統,不過你們應該不會想買. 06/17 21:12

真理解我...們公司XD~就讓我們相信人性本善吧^.<~ ※ 編輯: lu760423 (122.116.151.175), 06/17/2015 21:13:25

推 seebass: File server先全部鎖起來，查紀錄是誰寫入 06/17 21:22

推 asdfghjklasd: File Server 管不了 Mail Server 06/17 21:23

Asdf大，seebass應該是在說本文啦^^" seebass已經知道是誰...一早只有那個部門資料被綁架，接著我去一台一台看... 只有一台顯示訊息且都被綁架，其他人都很正常! asdf大...這件事情說不定又成羅生門~我個人是覺得exchange應該沒那麼強大! 能否私私設備型號給我瞇一下@@~ ※ 編輯: lu760423 (122.116.151.175), 06/17/2015 21:26:53

推 giogibyeie: Mail Gateway APT先做，再來是網路層的NAC再做起來， 06/17 21:42

→ giogibyeie: 可以解決99%的問題！有興趣再私訊吧！ 06/17 21:42

上級表示要我致電公司採購的防毒軟體公司，請他們處理以及提供防護措施~ ※ 編輯: lu760423 (122.116.151.175), 06/17/2015 21:49:07

→ ffv111: 防毒不會是趨X吧... 06/17 23:03

哈哈哈~辦公室掃描那套啊~ ※ 編輯: lu760423 (122.116.151.175), 06/17/2015 23:03:50

→ ffv111: 目前知道中標的客戶防毒都是X勢 ~ 06/17 23:05

個人覺得就是...哈!哈!哈! 當初來這間公司看到辦公室掃瞄我都笑了... ※ 編輯: lu760423 (122.116.151.175), 06/17/2015 23:12:38

→ gogohc: 完了 .. 06/17 23:51

發現一個事情，就算中毒者沒有點選其他網路資料夾。只要有人開放ERVERYONE的...都會中 ※ 編輯: lu760423 (60.251.214.162), 06/18/2015 14:29:05

推 punding: 這上個情形有遇到..只能說保重 06/18 18:22

→ threeus: 解不掉嗎？ 06/18 19:59

推 NINJA0210: 因為是檔案被加密,解完毒檔案一樣是加密不能用的狀態 06/18 21:34

推 asimon: 依照密碼學原解密的唯二方法: 1) 拿到key 2) 暴力破解 .. 06/19 02:51

→ asimon: 不然就祈禱加密方法有漏洞, 也許可以加速破解?! 06/19 02:52

→ threeus: 勒索軟體Locker Ransomware作者的懺悔 06/19 16:07

各位大大這是落幕...另外有個問題想問! 我從EX2013中找到可以限定帳戶只接收誰的郵件，請問... 是否有設定可以限定帳戶發信的對象(可能會是網域外)? ※ 編輯: lu760423 (122.116.151.175), 06/19/2015 18:11:00

→ tnshoho: 2003就有這功能了,2013沒道理沒有.. 06/22 09:16

莫名其妙的事情就結束了。昨天被EX2013 CU7搞到凌晨...最後只好重灌更新到SP1就好~ xp with outlook2007,use exchange 2013 cu7....can't link pulic folder.. ※ 編輯: lu760423 (60.251.214.162), 06/23/2015 11:42:12