千万别以为 你的电脑 或是 你的网路很安全 我也来分享一下 之前服务单位中勒索病毒的经验 一直以来都在金融资讯领域 前服务单位同一个老板有两个事业体 因为受金融法规规范... 两个事业体虽然在同一大楼 同一楼层 却也是建置了两个资讯部门 基本上整个大楼的网路都是第一个资讯部门规划 IP的配发权限也在第一个资讯部门手上 长久以来两个资讯部门 共用一台windows server 远端登入用 在出事的前两天 这一台很老旧的windows server 主机开不起来.. 所以就用一台内网PC来当远端主机... 这一台内网主机 主要的功能是用来监控 系统商提供的服务有没有正常 所以也接了一台大萤幕 某天主机画面跳了一下 ..... 然後被登出(也就是说有人登入了 A资讯单位 以为是B资讯单位的人登入 B资讯单位 以为是A资讯单位的人登入 因为备份资料的原因 这台PC也连接了几台伺服器的网路磁碟机 每天半夜备份资料 隔天早上还在捷运上时 A单位的人就在LINE里 说出事情了 但没说是出甚麽事情 并且说他今天特休 所以有事联络 一进公司 打开大萤幕..... 就是被勒索的警示画面 检查了所有网路磁碟机... 全部被加密 马上跟老板报告灾情........ 老板说用最快的速度 把事情处理掉 这时候 系统商的资讯人员也来关心 ( 难得的案例 ) 看了勒索内容 我写信给了对方 你好.... 我的系统显示 我的资料被你加密了... 我该如何解决这样的问题呢 系统上显示的代号为XXXXXXX 过了6~7小时对方才回信 开了一个价格 0.5 BTC 杀价杀到 0.37 BTC 达成协议後 老板拿了12万现金给我 我跑了五家全家 买足了BTC .. 转给对方後 对方回信 给了一个档案网址 下载档案後 再被加密的PC中执行 就算出公钥 再把公钥 e 给对方 对方回信 给了私钥 用私钥 成功把所有档案解锁 以上经验分享 ※ 引述《adearlover (阿眼)》之铭言： : 公司的Win2008 R2 RDP主机在8/26被骇入，被骇的至少有三个网域帐号 : 帐号以往都会设定登入时自动挂载网路磁碟机连接到档案伺服器 : 8/26早上6:40就有来自葡萄牙的IP(82.102.21.212)用被骇的网域帐号登入此RDP主 : 机，并执行一个名为AntiRecuvaAndDB.exe的程式来加密各磁碟区下有写入权限的档案 : (当时看到工作管理员中出现这一处理程序) : 导致档案伺服器下此帐号有权限能写入的档案都被加密，约占全部档案的30% : 被加密的档案有出现含有骇客e-mail的副档名字串 : https://i.imgur.com/5JjsZtH.jpg : 不过并没有发现在各加密资料夹下有汇款说明文字档 : 还好档案伺服器每天都有做备份，确定无安全疑虑就将档案倒回去了 : 在被骇前此RDP主机有在内建的windows防火墙RDP规则中做设定 : 只有限定某几个外部信任IP才能连入远端桌面服务 : 且也有用以外的几个外部IP做测试证实是会被挡掉的 : 微软五月公布的RDP漏洞安全更新也已经安装，但八月的更新还未做 : 不过内建防火墙显然没有发生作用，没能挡下这些白名单以外的IP : 怀疑是否被用RDP漏洞开采了 : 骇客还上传了一些工具，应是用来取得目前登入该主机的帐号密码 : 被骇的三个帐号资料夹下都有这些档案 : https://i.imgur.com/O44L4WV.jpg : 目前作法是在Router上针对RDP主机设定外部IP存取白名单 : 将被骇帐号停用，并删除user profile资料夹 : 将能登入到RDP主机的帐号设定到最少，且这些帐号不再自动挂载磁碟机 : 关於在Server端是否还有哪些安全措施必须做、建议做的呢? --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 119.14.67.114 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1568012287.A.A81.html