作者arsehole (又騎又磨姿勢且佳)
看板AntiVirus
標題Re: [心得] 中了勒索病毒處理
時間Thu Jul 30 00:51:02 2020
※ 引述《leecoco (小白是黃色滴)》之銘言:
: 推 paul0303: 接下來,請問有何方法,預防這問題不再發生,又防毒&安 07/28 06:50
: → paul0303: 全軑体都無效嗎,謝謝 07/28 06:50
這類事件就跟每年要打的流感疫苗一樣,每年都不一樣
問題不會不再發生,只是基本的措施要做,能"降低"發生的機率
: 推 kaihon: 請教有知道是怎麼中的嗎? 07/28 08:34
: 我後來發現一個帳號的資料夾早在2018年4月就被植入.SO程式碼...
: 應該是從個人電腦 網芳進去加密的...
不好判斷,這類有可能是Script被中之後,對外去連惡意伺服器,慢慢將惡意檔載下來
: → dennisxkimo: 你只能朝降低發生率 以及 發生了 如何讓損失降最低 07/28 13:06
: → dennisxkimo: 犧牲很多 都不見得能達到"不再發生" 07/28 13:07
: → dennisxkimo: 公司資料 只花 三千五 零用金水準 已經很好了 07/28 13:08
: 推 wakana0916: 這很便宜 07/28 15:07
我也覺得很便宜,朋友去裝牙套的牙醫診所被加密,患者跟病歷還有教學資料全部加密
付出了二十萬贖金才解掉。
: 推 cbunsg: 因為公司無法用比特幣交易吧 07/28 20:26
: → AndCycle: 最近新聞 QNAP 被綁的案例很多, 07/28 21:01
: → AndCycle: QNAP 更新又屬於手動的, 有對外沒更新真的很容易中 07/28 21:02
: → dennisxkimo: 看NAS討論區 不少NAS裸奔族的... 07/28 21:57
兩大NAS都有中獎過的機率,不過最大的中獎機率是user電腦權限沒設
網路磁碟用file share每個人權限都是可以Read write,只要一台中獎
幾乎資料夾無可倖免全中。
: ※ 編輯: leecoco (220.133.219.10 臺灣), 07/29/2020 21:48:18
: → leecoco: 目前考慮做快照+雲端備份了 有聽說NAS被打穿快照也GG 07/29 21:49
: → leecoco: 希望有更好的防止方法 他們辦公室都需要存取SHARE資料夾 07/29 21:51
: → leecoco: 六個帳號各有資料夾存取NAS 也會有交叉存取的情況 07/29 21:51
: → leecoco: 是不是做快照+異地NAS做累加備份是最佳解? 07/29 21:52
這個就看老闆願意花多少錢在這邊了,雲端備份不是不可以,只是備份的資料量
會隨著日積月累,多個歷史版本要留多久,資料會不會倍增,快照要幾小時做?
之前幫非營利組織做過類似的案子,偏鄉地帶沒有要接,人數約十人左右
電腦台數也是這種規模,他們也沒買NAS,他們用的就是這類設備
https://chinese.vrzone.com/wp-content/uploads/2013/10/wdfMyCloud-2.jpg
就想像成外接硬碟有網路孔可以用,這類只要硬碟掛了資料就掛了,連raid的功能都沒有
以下是免費的方法,由簡單到難開始做
1.使用者電腦設定權限
如果沒有AD,這類小公司買電腦下來之後,根本不會刻意去設定權限,可能連重灌都沒有
直接預設,品牌電腦預設都是admin等級,請將所有使用者帳號密碼設成user
不要讓使用者可以任意安裝軟體,由專人負責admin權限安裝軟體
因為你無法控制使用者上什麼網站、點什麼連結、安裝什麼軟體
很多惡意檔案都可以像yoyodiy大叔一樣繞過UAC,使用者根本發覺不知道自己裝了什麼鬼
2.NAS分享檔案不要直接用file share
如果是S牌的,他們有Drive 可以調整同步,也可以調整同步的檔案格式
Q牌的也有,有點忘記了,不知道是不是nextcloud
簡單來講,用File share的方法,你每個使用者都是可讀可寫,只要一台中獎
直接把他電腦上所有的file全部加密,當然網路磁碟槽也一併去了。
3.防毒軟體要裝
用其他家品牌free Antivirus,有點軟的不是不能用
只是更新速度更慢,free Antivirus雖然更新慢,不過比微軟稍微快一點
我也覺得防毒軟體用處不是太大,免費的用處更不大,當然AntiVirus版
一直被水桶的大神只要是XP可以安裝可以更新的防毒軟體,裝了就萬無一失了
當然防毒軟體是成本最低的資安投資,但也是最基礎最低的資訊安全底線
4.NAS對外連線要關閉
如同dennisxkimo兄說的,開對外服務通常都是找死,比較高階的NAS
還可以在前面加個虛擬交換器或虛擬機,比較不會直接暴露在網路上
有一些還有L4的Firewall功能,聊勝於無。
5.free UTM Firewall
這點我覺得一般小企業不太可能實現的,因為要有相關背景的來弄,才有辦法架起來
用一台老電腦架兩張網卡,就可以做到Free UTM Firewall,至少控管上
可以做到URL Filter、Prevention System、Anti-spyware等等系列,各家名稱不一樣
比較有名的free utm firewall,有這幾家
Endian、pfSense、OPNSense,沒經驗或沒概念的架起來有點苦手
好一點的用Sophos XG Firewall Home Edition,至少是中文有教學,水管上某網工班
也有基本教學影片,但Sophos嚴格來講不能用在商業上,二來人數超過50人的限制
不過硬體sophos的free 版本限制在雙核心+4G,用到五十人以上應該也會掛,當然人數
50人以上,請老闆花錢找SI廠商做資安吧。
以上是免費的方法,付費的方法之前有幫非營利組織做過,不過有點晚了,明天再來打
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.117.109.146 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1596041466.A.5A9.html
※ 編輯: arsehole (122.117.109.146 臺灣), 07/30/2020 00:55:14
1F:推 LANFAR: 推 07/30 07:36
2F:推 lokikevin: 推 認真 用心 07/30 08:13
3F:推 kaihon: 推推!! 07/30 09:18
4F:推 leecoco: 感謝大大經驗分享!! 07/30 09:29
5F:推 e369585: 優質好文 07/30 11:31
6F:推 chang0206: NAS如果能改用file station 把剩下沒用的都關掉 大概就 07/30 13:47
7F:→ chang0206: 解決了一大半,但是使用者習慣才是最難改的 07/30 13:47
8F:→ chang0206: 小公司我想也沒那個預算去做異地備份,簡單點就用外接 07/30 13:49
9F:→ chang0206: 硬碟,備份完就拔掉。把快照功能打開(要算一下容量 07/30 13:50
10F:→ chang0206: 有一招有用但很笨的方式 每天把要備份的資料 用winrar 07/30 13:51
我之前就有回覆過一篇文章,每個中小企業都覺得資料很重要,個人都覺得資料珍貴
但保存資料是要花錢的,像阿姨同事一樣,想備份珍藏旅遊照片,結果一年幾百塊不到一千
也不願意出,像牙醫診所的醫生一樣,認為資料重要,二十萬吐出來解勒索,眼都不眨一下
NAS還有想到一個方法,用外接3.5吋硬碟+定時器,因為這類都要額外插電源
雖然有點蠢,不過也是一種方法。
以下是我幫非營利組織出的資安架構,沒美術天分請見諒,這張是網路架構圖
https://i.imgur.com/Nmjnjar.jpg
以上的架構應該是目前市面上大部分中小企業的架構,如果有防火牆的話
當然我防火牆後面忘記畫一台L2 Switch,當然不願意花那麼多錢的話
用一般非網管的Switch也行。當然如果防火牆前面還有Load balancing
又或者有對外的服務,如FTP server 所需要的安全性跟設定就不太一樣了
防火牆到底有什麼用,其實可以參考水管上面這位介紹(可以開中文字幕)
https://www.youtube.com/watch?v=kDEX1HXybrU&feature=youtu.be
另外就是NAS,Firewall一定是設定Deny,當然考量到更新的需求
必須開放商用NAS可以上網update software 看是要設定IP還是FQDN
允許NSA只能連到以下IP更新Software,其餘阻擋,如果要做異地備援
也順便一起allow。
接下來就是費用問題了,防火牆各家不同,要續約的費用也不同,像pa基本款買tp
Fortinet買UTM Bundle,用國產Firewall也行,就看找的SI怎談了。
依我上圖的架構,必須支付的會有四種費用
第一種防火牆硬體設備費用,依公司需求買相對應的model。
重點是,每年都要買UTM,不是買玩硬體就算了,是每年都要付一筆費用
第二種Switch 費用,如果不願意或者不想花太多錢,用一般的Switch也行。
通常想買到L2等級的原因是方便做ACL或者是Qos之類的設定
第三種防毒軟體,依業主需求,或者是買端點也行。
第四種異地備援,費用是一年一年算,買的空間依雲端空間下去算。
但如果還是嫌太貴,找個人工作室系列也行,用free UTM也是有人這樣做
但通常是自找麻煩,而且如果用老舊電腦去做,壽命不見得久
都會買一台軟路由來做,不然就是組一台ITX小主機來玩
依照leecoco兄朋友公司的情況,資安不做的話,下次還是會發生,最起碼也買一台防火牆來擋
※ 編輯: arsehole (122.117.109.146 臺灣), 07/30/2020 23:42:09
11F:推 aegis43210: 推好文 07/31 01:48
12F:推 chang0206: 我倒認為做了這些,但是不改正操作習慣 還是一樣中 07/31 09:19
當然改正操作習慣最快,不過每間公司人員組成跟年齡層有關,如果像小弟日企一堆老人
要改變舊有的操作方法,那麼就是難如登天了,像前年exchange 2000 整個死掉
因為老主機也有簽維護合約,raid卡換了之後也是跑不起來,user端都用outlook express
因為二十年前的玩意,幾乎沒人會修,上頭還想花點錢請前同事來修,後來極力反對
才願意花錢換Maill server,當然介面都用web版,當然windows7跟10還是可以裝outlook express
不過微軟放棄的軟體,我能用我也不會再裝了,BUG太多,每次換電腦還要移pst檔
更不用講還有通訊錄,條件就是我幾乎幫每個人的通訊錄全部移到mail server上
也是推了幾個月以上,更不用講經理協理這類資深大佬們。
說到改正習慣,就如同把有點軟的office改成libreoffice,這類阻力就很高了
一堆人習慣有點軟的介面,他們可以接受新版,但是無法接受libreoffice
13F:推 popolili: 謝謝 08/01 01:34
14F:推 DPP48: 結果高階主管要求開防火牆權限就...... 08/01 11:36
高階主管要求開防火牆權限,我這邊是有一套流程,必須寫單,將由上頭核可
我就allow,當然高階主管不會要求要上色情網站之類的吧,大部分都是cloud
通訊軟體等等,他們要能說服上頭核可,事出有因、業務需求等
開防火牆權限跟資訊安全並不衝突
※ 編輯: arsehole (122.117.109.146 臺灣), 08/01/2020 14:09:13
15F:推 junorn: 我家小公司老闆不想花錢就弄了台PC叫我弄備份...原本還只 08/01 21:23
16F:→ junorn: 是丟一顆外接硬碟0rz,後來就裝了CENTOS用rsync的方式每天 08/01 21:24
17F:→ junorn: 定時從Server複製資料到那台PC上...然後我自己有空的時候 08/01 21:25
18F:→ junorn: 在做同步去讓他自動刪除檔案,這樣倒也救了兩次重要使用者 08/01 21:26
19F:→ junorn: 的資料...之前沒弄的時候幫每個都在跟我要資料到哪去生給 08/01 21:27
20F:→ junorn: 他們-.-... 08/01 21:27