作者arsehole (又骑又磨姿势且佳)
看板AntiVirus
标题Re: [心得] 中了勒索病毒处理
时间Thu Jul 30 00:51:02 2020
※ 引述《leecoco (小白是黄色滴)》之铭言:
: 推 paul0303: 接下来,请问有何方法,预防这问题不再发生,又防毒&安 07/28 06:50
: → paul0303: 全軑体都无效吗,谢谢 07/28 06:50
这类事件就跟每年要打的流感疫苗一样,每年都不一样
问题不会不再发生,只是基本的措施要做,能"降低"发生的机率
: 推 kaihon: 请教有知道是怎麽中的吗? 07/28 08:34
: 我後来发现一个帐号的资料夹早在2018年4月就被植入.SO程式码...
: 应该是从个人电脑 网芳进去加密的...
不好判断,这类有可能是Script被中之後,对外去连恶意伺服器,慢慢将恶意档载下来
: → dennisxkimo: 你只能朝降低发生率 以及 发生了 如何让损失降最低 07/28 13:06
: → dennisxkimo: 牺牲很多 都不见得能达到"不再发生" 07/28 13:07
: → dennisxkimo: 公司资料 只花 三千五 零用金水准 已经很好了 07/28 13:08
: 推 wakana0916: 这很便宜 07/28 15:07
我也觉得很便宜,朋友去装牙套的牙医诊所被加密,患者跟病历还有教学资料全部加密
付出了二十万赎金才解掉。
: 推 cbunsg: 因为公司无法用比特币交易吧 07/28 20:26
: → AndCycle: 最近新闻 QNAP 被绑的案例很多, 07/28 21:01
: → AndCycle: QNAP 更新又属於手动的, 有对外没更新真的很容易中 07/28 21:02
: → dennisxkimo: 看NAS讨论区 不少NAS裸奔族的... 07/28 21:57
两大NAS都有中奖过的机率,不过最大的中奖机率是user电脑权限没设
网路磁碟用file share每个人权限都是可以Read write,只要一台中奖
几乎资料夹无可幸免全中。
: ※ 编辑: leecoco (220.133.219.10 台湾), 07/29/2020 21:48:18
: → leecoco: 目前考虑做快照+云端备份了 有听说NAS被打穿快照也GG 07/29 21:49
: → leecoco: 希望有更好的防止方法 他们办公室都需要存取SHARE资料夹 07/29 21:51
: → leecoco: 六个帐号各有资料夹存取NAS 也会有交叉存取的情况 07/29 21:51
: → leecoco: 是不是做快照+异地NAS做累加备份是最佳解? 07/29 21:52
这个就看老板愿意花多少钱在这边了,云端备份不是不可以,只是备份的资料量
会随着日积月累,多个历史版本要留多久,资料会不会倍增,快照要几小时做?
之前帮非营利组织做过类似的案子,偏乡地带没有要接,人数约十人左右
电脑台数也是这种规模,他们也没买NAS,他们用的就是这类设备
https://chinese.vrzone.com/wp-content/uploads/2013/10/wdfMyCloud-2.jpg
就想像成外接硬碟有网路孔可以用,这类只要硬碟挂了资料就挂了,连raid的功能都没有
以下是免费的方法,由简单到难开始做
1.使用者电脑设定权限
如果没有AD,这类小公司买电脑下来之後,根本不会刻意去设定权限,可能连重灌都没有
直接预设,品牌电脑预设都是admin等级,请将所有使用者帐号密码设成user
不要让使用者可以任意安装软体,由专人负责admin权限安装软体
因为你无法控制使用者上什麽网站、点什麽连结、安装什麽软体
很多恶意档案都可以像yoyodiy大叔一样绕过UAC,使用者根本发觉不知道自己装了什麽鬼
2.NAS分享档案不要直接用file share
如果是S牌的,他们有Drive 可以调整同步,也可以调整同步的档案格式
Q牌的也有,有点忘记了,不知道是不是nextcloud
简单来讲,用File share的方法,你每个使用者都是可读可写,只要一台中奖
直接把他电脑上所有的file全部加密,当然网路磁碟槽也一并去了。
3.防毒软体要装
用其他家品牌free Antivirus,有点软的不是不能用
只是更新速度更慢,free Antivirus虽然更新慢,不过比微软稍微快一点
我也觉得防毒软体用处不是太大,免费的用处更不大,当然AntiVirus版
一直被水桶的大神只要是XP可以安装可以更新的防毒软体,装了就万无一失了
当然防毒软体是成本最低的资安投资,但也是最基础最低的资讯安全底线
4.NAS对外连线要关闭
如同dennisxkimo兄说的,开对外服务通常都是找死,比较高阶的NAS
还可以在前面加个虚拟交换器或虚拟机,比较不会直接暴露在网路上
有一些还有L4的Firewall功能,聊胜於无。
5.free UTM Firewall
这点我觉得一般小企业不太可能实现的,因为要有相关背景的来弄,才有办法架起来
用一台老电脑架两张网卡,就可以做到Free UTM Firewall,至少控管上
可以做到URL Filter、Prevention System、Anti-spyware等等系列,各家名称不一样
比较有名的free utm firewall,有这几家
Endian、pfSense、OPNSense,没经验或没概念的架起来有点苦手
好一点的用Sophos XG Firewall Home Edition,至少是中文有教学,水管上某网工班
也有基本教学影片,但Sophos严格来讲不能用在商业上,二来人数超过50人的限制
不过硬体sophos的free 版本限制在双核心+4G,用到五十人以上应该也会挂,当然人数
50人以上,请老板花钱找SI厂商做资安吧。
以上是免费的方法,付费的方法之前有帮非营利组织做过,不过有点晚了,明天再来打
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.117.109.146 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1596041466.A.5A9.html
※ 编辑: arsehole (122.117.109.146 台湾), 07/30/2020 00:55:14
1F:推 LANFAR: 推 07/30 07:36
2F:推 lokikevin: 推 认真 用心 07/30 08:13
3F:推 kaihon: 推推!! 07/30 09:18
4F:推 leecoco: 感谢大大经验分享!! 07/30 09:29
5F:推 e369585: 优质好文 07/30 11:31
6F:推 chang0206: NAS如果能改用file station 把剩下没用的都关掉 大概就 07/30 13:47
7F:→ chang0206: 解决了一大半,但是使用者习惯才是最难改的 07/30 13:47
8F:→ chang0206: 小公司我想也没那个预算去做异地备份,简单点就用外接 07/30 13:49
9F:→ chang0206: 硬碟,备份完就拔掉。把快照功能打开(要算一下容量 07/30 13:50
10F:→ chang0206: 有一招有用但很笨的方式 每天把要备份的资料 用winrar 07/30 13:51
我之前就有回覆过一篇文章,每个中小企业都觉得资料很重要,个人都觉得资料珍贵
但保存资料是要花钱的,像阿姨同事一样,想备份珍藏旅游照片,结果一年几百块不到一千
也不愿意出,像牙医诊所的医生一样,认为资料重要,二十万吐出来解勒索,眼都不眨一下
NAS还有想到一个方法,用外接3.5寸硬碟+定时器,因为这类都要额外插电源
虽然有点蠢,不过也是一种方法。
以下是我帮非营利组织出的资安架构,没美术天分请见谅,这张是网路架构图
https://i.imgur.com/Nmjnjar.jpg
以上的架构应该是目前市面上大部分中小企业的架构,如果有防火墙的话
当然我防火墙後面忘记画一台L2 Switch,当然不愿意花那麽多钱的话
用一般非网管的Switch也行。当然如果防火墙前面还有Load balancing
又或者有对外的服务,如FTP server 所需要的安全性跟设定就不太一样了
防火墙到底有什麽用,其实可以参考水管上面这位介绍(可以开中文字幕)
https://www.youtube.com/watch?v=kDEX1HXybrU&feature=youtu.be
另外就是NAS,Firewall一定是设定Deny,当然考量到更新的需求
必须开放商用NAS可以上网update software 看是要设定IP还是FQDN
允许NSA只能连到以下IP更新Software,其余阻挡,如果要做异地备援
也顺便一起allow。
接下来就是费用问题了,防火墙各家不同,要续约的费用也不同,像pa基本款买tp
Fortinet买UTM Bundle,用国产Firewall也行,就看找的SI怎谈了。
依我上图的架构,必须支付的会有四种费用
第一种防火墙硬体设备费用,依公司需求买相对应的model。
重点是,每年都要买UTM,不是买玩硬体就算了,是每年都要付一笔费用
第二种Switch 费用,如果不愿意或者不想花太多钱,用一般的Switch也行。
通常想买到L2等级的原因是方便做ACL或者是Qos之类的设定
第三种防毒软体,依业主需求,或者是买端点也行。
第四种异地备援,费用是一年一年算,买的空间依云端空间下去算。
但如果还是嫌太贵,找个人工作室系列也行,用free UTM也是有人这样做
但通常是自找麻烦,而且如果用老旧电脑去做,寿命不见得久
都会买一台软路由来做,不然就是组一台ITX小主机来玩
依照leecoco兄朋友公司的情况,资安不做的话,下次还是会发生,最起码也买一台防火墙来挡
※ 编辑: arsehole (122.117.109.146 台湾), 07/30/2020 23:42:09
11F:推 aegis43210: 推好文 07/31 01:48
12F:推 chang0206: 我倒认为做了这些,但是不改正操作习惯 还是一样中 07/31 09:19
当然改正操作习惯最快,不过每间公司人员组成跟年龄层有关,如果像小弟日企一堆老人
要改变旧有的操作方法,那麽就是难如登天了,像前年exchange 2000 整个死掉
因为老主机也有签维护合约,raid卡换了之後也是跑不起来,user端都用outlook express
因为二十年前的玩意,几乎没人会修,上头还想花点钱请前同事来修,後来极力反对
才愿意花钱换Maill server,当然介面都用web版,当然windows7跟10还是可以装outlook express
不过微软放弃的软体,我能用我也不会再装了,BUG太多,每次换电脑还要移pst档
更不用讲还有通讯录,条件就是我几乎帮每个人的通讯录全部移到mail server上
也是推了几个月以上,更不用讲经理协理这类资深大佬们。
说到改正习惯,就如同把有点软的office改成libreoffice,这类阻力就很高了
一堆人习惯有点软的介面,他们可以接受新版,但是无法接受libreoffice
13F:推 popolili: 谢谢 08/01 01:34
14F:推 DPP48: 结果高阶主管要求开防火墙权限就...... 08/01 11:36
高阶主管要求开防火墙权限,我这边是有一套流程,必须写单,将由上头核可
我就allow,当然高阶主管不会要求要上色情网站之类的吧,大部分都是cloud
通讯软体等等,他们要能说服上头核可,事出有因、业务需求等
开防火墙权限跟资讯安全并不冲突
※ 编辑: arsehole (122.117.109.146 台湾), 08/01/2020 14:09:13
15F:推 junorn: 我家小公司老板不想花钱就弄了台PC叫我弄备份...原本还只 08/01 21:23
16F:→ junorn: 是丢一颗外接硬碟0rz,後来就装了CENTOS用rsync的方式每天 08/01 21:24
17F:→ junorn: 定时从Server复制资料到那台PC上...然後我自己有空的时候 08/01 21:25
18F:→ junorn: 在做同步去让他自动删除档案,这样倒也救了两次重要使用者 08/01 21:26
19F:→ junorn: 的资料...之前没弄的时候帮每个都在跟我要资料到哪去生给 08/01 21:27
20F:→ junorn: 他们-.-... 08/01 21:27