iT邦幫忙

6

勒索病毒 zepto 處理流程簡略心得分享

使用者回報檔案打不開

保存舊資料

  1. 電腦關機
  2. 使用光碟(Windows PE/Clonezilla/Linux LiveCD/BootCD)開機
  3. 使用檔案救援工具掃描可否還原未加密檔案-若有可還原檔案需要額外接硬碟存放還原資料
  4. 使用備份還原工具(Ghost/Clonezilla)備份磁碟/分割區

還原分割區

  1. 重新分割磁區(Windows Boot 分割區及 C:)
  2. 使用印象檔還原乾淨的環境/重新安裝 Windows
  3. Windows Updates(可能會很久甚至無反應)
  4. 升級軟體
  5. 網域 DC 刪除中毒電腦名稱
  6. 將還原電腦的名稱改回舊稱
  7. 還原電腦重新加入網域
  8. 向使用者要登入帳號密碼
  9. 回復使用者個人設定、印表機、書籤、郵件、聯絡人、簽章(使用者自己做)、程式捷徑、縮放桌面等個人化項目(能做多少算多少)

清查項目

  1. 將網路分享目錄受影響檔案列出(dir \\Server\ShareDir\*.zepto /s > C:\zepto_Check.txt)並呈報主管
  2. 詢問使用者如何中毒,管道為何
  3. 向使用者說明將清除所有資料,部份資料將永久性遺失
  4. 向防毒軟體簽約公司詢問是否有可能解開檔案

檢討項目

  1. 網路分享目錄權限檢討
  2. 內部自行開發程式的安裝目錄權限檢討
  3. 外部廠商撰寫程式的安裝目錄權限檢討

額外設定

  • 備份的備份必須設定僅有特定幾台機器可以連線,其餘 IP 禁止連線

希望這些處理心得能幫助需要的人


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
eddie1
iT邦新手 5 級 ‧ 2016-08-02 03:17:33

請問詢問了之後是否有確定使用者如何中毒,管道為何?
謝謝

Daniel iT邦新手 2 級 ‧ 2016-08-03 22:33:13 檢舉

「我不知道啊」使用者是這樣回答的。

我也懶的追了,反正就那兩種管道,煩的是我還要善後,或許塞翁失馬焉知非福,以後權限控管更嚴格就沒人敢反對了。

我要留言

立即登入留言