作者rock5101437 (Ketrich)
看板MIS
標題[閒聊] ...快被勒索病毒搞瘋了
時間Sun Jun 5 00:56:44 2016
從今年ㄧ月計算至今,我已經處理了7次的勒索病毒案件,各位大大有沒有今年還沒處理
過的呀
這種勒索病毒有潛伏期,有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的
可以分享ㄧ下治毒之道嗎QQ
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.13.115
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1465059406.A.5FD.html
1F:推 wantsleep: ?7次的感染途徑是什麼? 06/05 04:16
2F:推 D02217: Palo Alto可以阻擋KEY回傳,可以讓整個加密不成功 06/05 17:25
3F:→ rock5101437: 感染途徑通常沒有一個user會告訴你的... 06/05 19:02
4F:→ rock5101437: 請教D大PaloAlto的設定方式!!因剛好公司也用同型 06/05 19:04
5F:推 miacp: 大家聽到使用者的回答第一名應該都是:我甚麼都沒做啊。 06/05 19:22
6F:→ littlecut: USER的話能信? 06/05 19:29
7F:推 D02217: 回R大我是沒用他們家,不過參加研討會原廠有展示這一塊 06/05 21:06
8F:→ lu760423: 結果同型的沒買他的模組xd... 06/05 21:24
9F:推 D02217: 模組不清楚~我只知道後續MA口頭報價一年要十萬 = = 06/05 21:30
10F:→ deadwood: 不就把CNC server的IP跟URL列在黑名單裡過濾掉不是嗎? 06/05 23:47
11F:→ deadwood: 這功能在palo alto就叫wildfire,license另計一年收一次 06/05 23:50
12F:→ deadwood: 會每年收錢是因為他們要花心力研究並維護黑名單 06/05 23:51
13F:→ deadwood: 畢竟惡意軟體跟惡意網站是一直在更新還有變動的 06/05 23:52
14F:→ chang0206: 人家肯花心力研究,買個LICENSE SUPPORT一下不錯啊 06/06 09:18
15F:推 JCC: 我處理三次 兩次付錢救回 一次擴散不大砍掉重練 06/06 15:11
16F:推 trumpete: 哇!!! 有付錢救回的案例了!! 06/06 15:32
17F:推 JCC: 因為兩次都是弄到nas好幾萬個檔超過1tb 先跟他們講付錢不一定 06/06 15:53
18F:→ JCC: 救的回 然後拿錢去全家買比特幣付了後解藥就來了然後就解了~ 06/06 15:53
19F:推 D02217: 我是支持Palo Alto所以有去了解跟問 06/06 22:59
20F:→ D02217: 想 06/06 22:59
21F:→ D02217: 不過一般企業能付的起這種MA不多 06/06 23:00
22F:推 asdfghjklasd: 說實話,花不起錢要不就不要開公司,要不就不要上網 06/07 07:48
23F:→ asdfghjklasd: 花不起錢那是什麼理由,那些錢那比的上機台設備 06/07 07:48
24F:→ asdfghjklasd: 那比的上老闆的進口名車 06/07 07:49
25F:推 D02217: 每家公司資訊預算都不一樣,並不是每家公司都用的起PaloAl 06/07 11:59
26F:→ D02217: to,不然就不會有其他品牌Fortigate、Cyberoam等,這與買 06/07 11:59
27F:→ D02217: 不起PaloAlto開不開的起公司無直接關係。 06/07 11:59
28F:→ D02217: 今天這個平台是討論技術,你在哪裡扯花不起就不要開公司, 06/07 12:00
29F:→ D02217: 是在有偏離主題,貴公司花的起就去買,幹嘛戰別人花不起就 06/07 12:00
30F:→ D02217: 不要開公司 06/07 12:00
31F:→ galoislee: 我們的主力是pfSense,有建議的設定嗎? 06/09 09:49
32F:→ deadwood: 一般來講,能在防火牆上面做的大概就網址過濾或阻擋某 06/09 16:46
33F:→ deadwood: 些檔案類型的下載(如果可以在防火牆做) 06/09 16:47
34F:→ deadwood: 配合某些專門提供惡意網站清單的組織(可能免費或收費) 06/09 16:48
35F:→ deadwood: 定期更新黑名單做阻擋 06/09 16:49
36F:→ deadwood: 另外pfsense也能整合snort(open source的IPS)等 06/09 16:50
37F:→ deadwood: 都可以強化這方面的能力,但是要怎調校眾多rule就得自己 06/09 16:51
38F:→ deadwood: 想辦法了 06/09 16:51
39F:→ deadwood: 其實光在防火牆上要阻擋勒索軟體還是很有限的 06/09 16:53
40F:推 galoislee: 我們擋中國,俄羅斯。其他再列一些下載或遊戲網站的黑 06/10 07:54
41F:→ galoislee: 名單。 06/10 07:54
42F:→ deadwood: 樓上檔的網站並不是針對加密勒索軟體CNC server,只是 06/10 09:29
43F:→ deadwood: 高風險網站 06/10 10:09
44F:→ deadwood: 要針對CNC server,免費的方式就是自行上網搜尋 06/10 10:12
45F:→ deadwood: 不然就是如前面所說,找個廠商購買服務 06/10 10:13
46F:→ ncueBenson: 我不敢亂回 我怕回了就遇到.. 06/22 22:07