[閒聊] ...快被勒索病毒搞瘋了

作者rock5101437 (Ketrich)

看板MIS

標題[閒聊] ...快被勒索病毒搞瘋了

時間Sun Jun 5 00:56:44 2016

從今年ㄧ月計算至今，我已經處理了7次的勒索病毒案件，各位大大有沒有今年還沒處理過的呀這種勒索病毒有潛伏期，有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的可以分享ㄧ下治毒之道嗎QQ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.13.115 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1465059406.A.5FD.html

推 wantsleep: ？7次的感染途徑是什麼？ 06/05 04:16

推 D02217: Palo Alto可以阻擋KEY回傳，可以讓整個加密不成功 06/05 17:25

→ rock5101437: 感染途徑通常沒有一個user會告訴你的... 06/05 19:02

→ rock5101437: 請教D大PaloAlto的設定方式！！因剛好公司也用同型 06/05 19:04

推 miacp: 大家聽到使用者的回答第一名應該都是：我甚麼都沒做啊。 06/05 19:22

→ littlecut: USER的話能信? 06/05 19:29

推 D02217: 回R大我是沒用他們家，不過參加研討會原廠有展示這一塊 06/05 21:06

→ lu760423: 結果同型的沒買他的模組xd... 06/05 21:24

推 D02217: 模組不清楚～我只知道後續MA口頭報價一年要十萬 = = 06/05 21:30

→ deadwood: 不就把CNC server的IP跟URL列在黑名單裡過濾掉不是嗎? 06/05 23:47

→ deadwood: 這功能在palo alto就叫wildfire，license另計一年收一次 06/05 23:50

→ deadwood: 會每年收錢是因為他們要花心力研究並維護黑名單 06/05 23:51

→ deadwood: 畢竟惡意軟體跟惡意網站是一直在更新還有變動的 06/05 23:52

→ chang0206: 人家肯花心力研究，買個LICENSE SUPPORT一下不錯啊 06/06 09:18

推 JCC: 我處理三次兩次付錢救回一次擴散不大砍掉重練 06/06 15:11

推 trumpete: 哇!!! 有付錢救回的案例了!! 06/06 15:32

推 JCC: 因為兩次都是弄到nas好幾萬個檔超過1tb 先跟他們講付錢不一定 06/06 15:53

→ JCC: 救的回然後拿錢去全家買比特幣付了後解藥就來了然後就解了~ 06/06 15:53

推 D02217: 我是支持Palo Alto所以有去了解跟問 06/06 22:59

→ D02217: 想 06/06 22:59

→ D02217: 不過一般企業能付的起這種MA不多 06/06 23:00

推 asdfghjklasd: 說實話,花不起錢要不就不要開公司,要不就不要上網 06/07 07:48

→ asdfghjklasd: 花不起錢那是什麼理由,那些錢那比的上機台設備 06/07 07:48

→ asdfghjklasd: 那比的上老闆的進口名車 06/07 07:49

推 D02217: 每家公司資訊預算都不一樣，並不是每家公司都用的起PaloAl 06/07 11:59

→ D02217: to，不然就不會有其他品牌Fortigate、Cyberoam等，這與買 06/07 11:59

→ D02217: 不起PaloAlto開不開的起公司無直接關係。 06/07 11:59

→ D02217: 今天這個平台是討論技術，你在哪裡扯花不起就不要開公司， 06/07 12:00

→ D02217: 是在有偏離主題，貴公司花的起就去買，幹嘛戰別人花不起就 06/07 12:00

→ D02217: 不要開公司 06/07 12:00

→ galoislee: 我們的主力是pfSense，有建議的設定嗎？ 06/09 09:49

→ deadwood: 一般來講，能在防火牆上面做的大概就網址過濾或阻擋某 06/09 16:46

→ deadwood: 些檔案類型的下載(如果可以在防火牆做) 06/09 16:47

→ deadwood: 配合某些專門提供惡意網站清單的組織(可能免費或收費) 06/09 16:48

→ deadwood: 定期更新黑名單做阻擋 06/09 16:49

→ deadwood: 另外pfsense也能整合snort(open source的IPS)等 06/09 16:50

→ deadwood: 都可以強化這方面的能力，但是要怎調校眾多rule就得自己 06/09 16:51

→ deadwood: 想辦法了 06/09 16:51

→ deadwood: 其實光在防火牆上要阻擋勒索軟體還是很有限的 06/09 16:53

推 galoislee: 我們擋中國，俄羅斯。其他再列一些下載或遊戲網站的黑 06/10 07:54

→ galoislee: 名單。 06/10 07:54

→ deadwood: 樓上檔的網站並不是針對加密勒索軟體CNC server，只是 06/10 09:29

→ deadwood: 高風險網站 06/10 10:09

→ deadwood: 要針對CNC server，免費的方式就是自行上網搜尋 06/10 10:12

→ deadwood: 不然就是如前面所說，找個廠商購買服務 06/10 10:13

→ ncueBenson: 我不敢亂回我怕回了就遇到.. 06/22 22:07