iT邦幫忙

12

公司中了綁架病毒,個人處理紀錄

四月中,一個平靜的上午,一些USER說 ERP 進不去了,顯示都不太正常

經檢查發現,一堆檔案被加密了,立馬通知所有人,公司有人中綁架病毒,現在網路要先關了,避免事態擴大

關了網路之後,心裡知道,伺服器鐵定中槍,但根據累積的估狗心得,基本上認定,目前的綁架病毒,還無法異機執行

所以仔細看了主要伺服器的工作管理員之後,比對一下執行序,確認伺服器沒有綁架病毒正在運行

並且檢查每日備份,跟分享的資料夾,發現只有分享的資料夾的檔案有被加密,每日備份的檔案並無異狀

還有,隱藏的共用資料夾完全沒事

當下,伺服器確認狀況後,立即進行還原動作,再去檢查 ERP 伺服器,發現也是一樣的狀況

也因此,進行了必要的還原動作,確認伺服器問題不大之後,大約花了一小時,伺服器完全修復

這時候,帶屎人的電腦出現了 綁架信,一如諸多新聞顯示的那個超惡毒的畫面,二話不說先拔掉網路線

看過所有人的電腦之後確認就是這個帶屎人惹的禍,這邊又花掉我一小時的時間

接著,我開始處理帶屎人的電腦,確認大多數的檔案應該是沒救了,不過,也不知道是狗屎運還是怎樣

因為 OUTLOOK 一直開著,居然郵件的PST檔案沒有被加密,但歷史郵件就沒了,這只能說有留下最近的郵件就該謝天謝地了

於是下午的時間就慢慢磨這台電腦,慢慢的重灌,慢慢的處哩,雖然重灌基本上 30分鐘可以搞定

但,這個帶屎人害我緊張大半天的,就想我是不是該離開了,還好我做了平日該做的工作,沒有懈怠

否則,真的得草蓆捆捆直接回家了,所以,這麼帶屎,不好好磨一下對不起自己,所以,電腦等下班的時候才還給她

以上,就是這次事件的個人處理紀錄,真實無誤,絕非虛假

對付綁架病毒,真的只有做好備份這條路而已,其他的,都是多講的

還有,網芳真的很危險,還有每個人要給不同的權限,不要對所有的資料夾都能寫入,出事的話會死很慘的

另外重要的資料夾共用要名稱後面要記得加 $ 號隱藏一下,這也能避免被直接找到,重點是權限設定很重要

千萬要注意,以上的個人心得分享到此結束

後記:

  1. OFFICE 2007 沒有病毒偵測功能,該 USER 重灌後上了 2016,發現一堆信都有病毒檔案,直接被 2016 拒絕存取 (本公司用 GAPPS 還是有漏網之魚 )
  2. 目前已經知道有一堆OFFICE 檔案會用 巨集 連結 VBA 利用舊版檔案的漏洞可以一開就中毒,要避免這種狀況,請務必使用最新版的OFFICE
    目前的版本可以偵測到有問題的巨集跟VBA拒絕存取,就算是舊版文件,也能先警告,讓USER手動開啟巨集與VBA,USER 只要確認檔案內容並非日常往來文書,
    就可以直接關閉,就能避免因為自動開啟巨集與VBA而感染綁架病毒
  3. 目前知道綁架病毒無法找到 隱藏式分享,建議個人電腦要開分享請用隱藏式,只要通知給需求人路徑即可,可以避免使用者間因為共享而被綁架病毒有機可趁
  4. 郵件務必使用 GMAIL 級以上的,目前已知大多數的綁架病毒,GMAIL都能過濾掉,目前常見的 大概只有 微軟可以,但其他台灣常見的大多沒有能力檔
    至於那堆大企業或中小企業自建的郵件主機,都要看是不是有去阻擋這些綁架病毒了,但也是絕大多數沒有能力阻擋,否則綁架病毒不會從月經文變成秒經文了
    每分每秒都有人中獎,有些甚至中獎了還不知道,還有要防範IM的不當連結,廣告網站的不當連結,這些都要注意,小心釣魚,別以為網路送哀縫六是真的

以上是後記,跟各位分享


1
aaronyang
iT邦新手 3 級 ‧ 2016-05-24 09:54:54

多作備份真是王道~~~~每天備(1周的cycle), 每月備, 檔案式,整機式。

1
魯大
iT邦高手 1 級 ‧ 2016-05-24 14:06:59

事情的發生往往都在一個平靜的日子
/images/emoticon/emoticon82.gif

1
海綿寶寶
iT邦大神 1 級 ‧ 2016-05-24 18:40:26

斷網重裝倒備份...
跟中了其他病毒木馬的處理方法
沒什麼太大差別

0
kittycat258
iT邦新手 5 級 ‧ 2016-05-29 15:47:35

我是心酸的過來人

有個年長的同事(萬年業助老小姐)很愛亂上網
我跟他是公司業助,所以兩台電腦資料有共用
平時我的電腦只有使用進銷存軟體,以及打報價單及銷貨單
結果,害的我的電腦也中毒
最悲慘的事情
我備份資料沒做好
一月中之後到五月初資料全部不見...
幸好平常我紙本資料全部都有留著
最近一直努力把資料KEY回去...
電腦重灌後,我很努力每天都備份以免又發生慘劇>"<

話說,工程師來處理也說她電腦中了哪些哪些毒
偏偏老小姐死都不承認是自己弄的...

我這次的帶屎人是萬年船務啊,但她只會說她不知道按了什麼,也都說不清楚,都以為那是客戶貨代的的郵件,以為都能開
然後 ..... 就這樣,都已經講了沒往來就是不能開,不然PO PI 文件都有單號,要有單號啊,我只能一整個 OOOXXX 了

1
Jerry
iT邦研究生 1 級 ‧ 2016-06-10 02:17:13

一堆不怕死的,分享還是完整的打開。
IT公告什麼一堆人都不看。當發現死機後就說他什麼也不知道,什麼也沒做。

有人更過分,直接回不然公司請你幹嘛的

我要留言

立即登入留言