作者fema (Currahee)
看板AntiVirus
标题Re: [请益] 疑似 TeslaCrypt
时间Sun Apr 17 21:54:47 2016
报告处理经过
主要为被 SpyHunter 扫出威胁的主机重灌作业系统
并且安装 Comodo firewall 和设定 firewall & HIPS(未开启沙箱)
还有看看硬体防火墙内部设定
硬体防火墙内部设定不敢乱动,中间发现有俄罗斯和中国的 IP 试图登入防火墙
也意外发现应该把关资讯安全的网管人员长期在 BT 下载影片,也不清楚试图登入的状况
尤其中勒索软体後还是照常 BT,让我非常愤怒
3月2x日和其中一台主机的使用者讨论 Comodo 的运作机制时
觉得心虚,认为当时的设定并无法防范勒索软体
趁着周末继续找资料,也从本板得知 cruelsister1 有一堆的测试影片
https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1458238525.A.719.html
然後一直看一直看,直到看到这部影片
https://www.youtube.com/watch?v=vndaOa15bPg
cruelsister1 强烈建议开启 Comodo 的自动沙箱功能
原因在这篇推文 mayuyu 大解释得非常清楚
https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1460337529.A.73B.html
但是我和使用者再讨论後,使用者认为 cruelsister1 建议的设定太过强大
启用 Auto-Sandbox
取消勾选 Do not virtualize access to the specified files/folders
设定 Set Restriction Level 为 Untrusted
(影片内有相关画面)
这样造成在沙箱跑的程式所产生的档案无法储存在沙箱外,沙箱结束後,档案也消失了
我也解释在沙箱内主要观察程式的行为,没有问题後再另外设定让程式在沙箱外跑
这也让我觉得实在是太自找麻烦了,我本身可以这样设定,其他人不见得可以
所以我自己定调了,硬体防火墙要强,时时更新,内部网路的主机安装防毒即可
接下来就是去看硬体防火墙,後续前面有说明了
不过我还是建议开启沙箱
PS. 另外 cruelsister1 测试 WinAntiRansom 防勒索软体还未失手,只不过它要付费
※ 引述《fema (Currahee)》之铭言:
: 记录并请提供意见
: 昨天8点多,同事求救网路磁碟机中一个资料夹内的 doc 变 mp3
: 虽然不久前有看过此篇 http://www.techbang.com/posts/41437
: 不过我不是网管人员,知道就好,平时不会脑内演练
: 平时帮同事解决一些 Office 操作问题,一点也想不到有人会问我这个棘手问题
: (平时角色只是协助网管,主要还是一直在换人的网管人员在管理)
: (有些事情我不太知道,也就是说,我专打游击)
: 一开始还未意识到是勒索软体
: 把 mp3 改回、没用,点开、乱码,加 mp3 点开、WMP 认不出
: (对,我用我自己的电脑点开 冏)
: (有先用 Avira 免费版扫过,爬文後知道扫不到)
: Google 关键字从「副档名 变 mp3」,此时找到本板文章
: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1455414238.A.3AD.html
: 嗯~勒索软体~(这时还未发觉有多严重)
: 注意到问题资料夹内档案被修改的时间为前天下午3点2X分
: 加上又发现上一层档案也开始被修改(昨天8点多)
: X的,这时候开始害怕,觉得事情大条了!
: 一直反覆修改关键字到「doc mp3 virus」,才找到一篇比较有系统的文章
: http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-mp3-encrypted-files/
: (缩网址 http://goo.gl/g4K5FY )
: 快11点,想找网管人员透过硬体防火墙的日志,追查是哪台电脑中了正在加密网路磁碟机
: 再把网路磁碟机关掉
: 但又想流量不大,或是太多台存取网路磁碟机,可能会浪费时间追查日志
: 就直接请网管人员关掉网路磁碟机,但网管人员只拔掉网路线(开着会持续感染吗?)
: (这时网管人员给我登入防火墙的帐号密码)
: (中午登入後一看,我的天啊! table 应该只是预设、日志也没开启、没有记录到8点多的)
: (我知道1月底有换硬体防火墙这件事,但是没有设定就上线,很扯!)
: 因为不知道哪台电脑中了,这点让我觉得很头痛,每台电脑都要检查过,不能挂一漏万
: 下午开始从办公室电脑一台一台照下列步骤处理:
: 1)下载(不能从其他装置复制)、更新 SpyHunter
: 2)进入安全模式,用 SpyHunter 扫描(因为在安全模式,不知道能不能扫网路磁碟机)
: 2-1)没有扫到,标记 OK
: 2-2)扫到,到3)
: 3)请使用者检查哪些档案被感染,以便知道灾情多严重,还有哪些档案不能备份
: (我看不懂 SpyHunter 扫後哪些是勒索软体感染的、哪些不是)
: 4)正常开机,用原本就有的防毒软体扫毒,一样请使用者检查哪些档案被感染
: (没有的我会下载 Avira 免费版)
: 5)使用者备份正常档案
: (我想要求使用者一个一个档案备份,不能整个资料夹备份)
: 6)重灌 Windows,最好整颗硬碟格式化,但是我知道不可能
: 7)安装软体防火墙,Comodo Firewall 免费版
: (我很犹豫要不要装,对生手太烦人了,我也不想一直被问问题)
: (但不装就没有 HIPS 来挡恶意软体)
: 8)安装防毒软体,我选择 Avira 免费版,毕竟我用至少快10年也熟悉
: 9)设定 BitLocker
: (此举应只能减少灾情,打开的档案应也会被加密)
: 10) CloneZilla 系统碟(?)
: (想做,之後有问题直接还原)
: (但是好像没有太多储存空间,我手上只有1T随身硬碟,估有25台要处理)
: 11)标记 OK
: 机房内有硬体防火墙、网路磁碟机、网页伺服器等3台Linux伺服器,後续处理如下:
: 硬体防火墙:想先换回过保的旧的防火墙挡一下,或用到坏为止,至少有在把关
: 新的防火墙一定要设定好再上线
: 网路磁碟机:同电脑处理步骤,把正常档案备份出来
: 但我还在考虑要不要换到云端碟碟 Google Drive?
: 同步功能无法阻止覆盖正常档案,Google Drive有单纯备份不覆盖的功能吗?
: Linux伺服器:爬文知道也有针对 Linux 的勒索软体,但不知如何起手?
: 後续预防:
: 0)如果再遇到勒索软体,立即按关机(或是拔网路线也可以?)
: 1)评估云端硬碟,不再使用网路硬碟,各台电脑不开分享、各自独立
: 避免中毒後,持续扩大
: 2)准备乾净但不储存重要档案的电脑,专门扫毒
: 3)教育训练,真的受不了浏览器跳出广告後
: 重灌系统还是因为习惯不好(或不知道自己在做什麽),再度中毒
: 我非本科,平常也只看些软性资安文章
: 请不吝提供我意见,看看还有什麽没有做到的
: 谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 180.176.189.163
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1460901289.A.FD1.html
1F:推 Clarkliu: 网管玩bt.......这个....... 04/18 01:20
没有最扯,只有更扯
2F:推 PenguinLee: 推用心 04/18 02:29
没什麽,基本功
(咦~真正的网管在看 BT 影片)
3F:推 ctes940008: 网管要掰了 04/18 05:37
没掰,而且从说破後,我就没有再碰硬体防火墙
说破隔天早上还假惺惺问我网路磁碟机使用者帐号的问题
还在另一台他不常用的主机,想登入硬体防火墙,还输入错误的帐号密码
当场被我当,他信任他不常用的主机吗? 不怕 keystroke logging 吗?
不说了,跟本板无关
4F:推 Xemnas: 有人想一起团购winantiransom吗? 04/18 08:05
5F:推 abram: 有点兴趣 04/18 08:06
6F:推 DevilJJ: bitdefender 有出免费的 04/18 10:42
7F:推 Xemnas: Bitdefender之前文章有提到实测後其功效不如宣称 04/18 11:58
8F:→ HELLDIVER: 没加薪 04/18 12:53
我和网管身分不同,哭哭
※ 编辑: fema (180.176.189.163), 04/18/2016 22:05:19
9F:→ go1717: 对於出现什麽画面都按"是.执行.yes"的人来说 装任何防护软 04/19 07:58
10F:→ go1717: 体都无效XD 04/19 07:58
11F:推 cg6445: 不能同意楼上更多 04/19 10:22
这些使用者无知居多,也只能笑笑
中勒索软体後的228三天连假,我想了一套预防计画,其中之一就是对每个人做教育训练
如果再发生,就是直接「问候他们家长与列祖列宗」
(引用
http://www.ithome.com.tw/tech/101366 处理7原则 fb 使用者的回应 XD)
可是,这个网管是明知故犯呐!
12F:推 NeoBelfort: 可以改所有电脑的group policy 缺点是某些要求权限高 04/19 11:14
13F:→ NeoBelfort: 的程式无法安装执行 04/19 11:14
鱼与熊掌不可兼得(安全和方便)
※ 编辑: fema (180.176.189.163), 04/19/2016 19:32:07