千萬別以為 你的電腦 或是 你的網路很安全 我也來分享一下 之前服務單位中勒索病毒的經驗 一直以來都在金融資訊領域 前服務單位同一個老闆有兩個事業體 因為受金融法規規範... 兩個事業體雖然在同一大樓 同一樓層 卻也是建置了兩個資訊部門 基本上整個大樓的網路都是第一個資訊部門規劃 IP的配發權限也在第一個資訊部門手上 長久以來兩個資訊部門 共用一台windows server 遠端登入用 在出事的前兩天 這一台很老舊的windows server 主機開不起來.. 所以就用一台內網PC來當遠端主機... 這一台內網主機 主要的功能是用來監控 系統商提供的服務有沒有正常 所以也接了一台大螢幕 某天主機畫面跳了一下 ..... 然後被登出(也就是說有人登入了 A資訊單位 以為是B資訊單位的人登入 B資訊單位 以為是A資訊單位的人登入 因為備份資料的原因 這台PC也連接了幾台伺服器的網路磁碟機 每天半夜備份資料 隔天早上還在捷運上時 A單位的人就在LINE裏 說出事情了 但沒說是出甚麼事情 並且說他今天特休 所以有事聯絡 一進公司 打開大螢幕..... 就是被勒索的警示畫面 檢查了所有網路磁碟機... 全部被加密 馬上跟老闆報告災情........ 老闆說用最快的速度 把事情處理掉 這時候 系統商的資訊人員也來關心 ( 難得的案例 ) 看了勒索內容 我寫信給了對方 你好.... 我的系統顯示 我的資料被你加密了... 我該如何解決這樣的問題呢 系統上顯示的代號為XXXXXXX 過了6~7小時對方才回信 開了一個價格 0.5 BTC 殺價殺到 0.37 BTC 達成協議後 老闆拿了12萬現金給我 我跑了五家全家 買足了BTC .. 轉給對方後 對方回信 給了一個檔案網址 下載檔案後 再被加密的PC中執行 就算出公鑰 再把公鑰 e 給對方 對方回信 給了私鑰 用私鑰 成功把所有檔案解鎖 以上經驗分享 ※ 引述《adearlover (阿眼)》之銘言： : 公司的Win2008 R2 RDP主機在8/26被駭入，被駭的至少有三個網域帳號 : 帳號以往都會設定登入時自動掛載網路磁碟機連接到檔案伺服器 : 8/26早上6:40就有來自葡萄牙的IP(82.102.21.212)用被駭的網域帳號登入此RDP主 : 機，並執行一個名為AntiRecuvaAndDB.exe的程式來加密各磁碟區下有寫入權限的檔案 : (當時看到工作管理員中出現這一處理程序) : 導致檔案伺服器下此帳號有權限能寫入的檔案都被加密，約佔全部檔案的30% : 被加密的檔案有出現含有駭客e-mail的副檔名字串 : https://i.imgur.com/5JjsZtH.jpg : 不過並沒有發現在各加密資料夾下有匯款說明文字檔 : 還好檔案伺服器每天都有做備份，確定無安全疑慮就將檔案倒回去了 : 在被駭前此RDP主機有在內建的windows防火牆RDP規則中做設定 : 只有限定某幾個外部信任IP才能連入遠端桌面服務 : 且也有用以外的幾個外部IP做測試證實是會被擋掉的 : 微軟五月公布的RDP漏洞安全更新也已經安裝，但八月的更新還未做 : 不過內建防火牆顯然沒有發生作用，沒能擋下這些白名單以外的IP : 懷疑是否被用RDP漏洞開採了 : 駭客還上傳了一些工具，應是用來取得目前登入該主機的帳號密碼 : 被駭的三個帳號資料夾下都有這些檔案 : https://i.imgur.com/O44L4WV.jpg : 目前作法是在Router上針對RDP主機設定外部IP存取白名單 : 將被駭帳號停用，並刪除user profile資料夾 : 將能登入到RDP主機的帳號設定到最少，且這些帳號不再自動掛載磁碟機 : 關於在Server端是否還有哪些安全措施必須做、建議做的呢? --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 119.14.67.114 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1568012287.A.A81.html