iT邦幫忙

3

這是中了勒索病毒?

各位前輩好

目前確認就是勒索病毒,版本為"gandcrab v5.0.4"
處理方式就是採用,發現後回報,

2.1.斷網
2.格式化整顆硬碟/重新分割
3.還原備份/設定/備份新檔

只能說防範勝於治療,但遇到x隊友的話....


小的最近在公司遇到電腦檔案副檔名遭改成.cgbisqqnh

輕則影響部分檔案、嚴重一點的就是很多檔案被改、
再嚴重的就是公司貿易系統因為走網路磁碟機,所以也因為這樣中招。

目前公司員工個機都是安裝 ESet的防毒。

請問,這該如何找出源頭...或是防範?!

看更多先前的討論...收起先前的討論...
對 這就是勒索病毒

防範方法
https://www.google.com.tw/search?q=%E9%98%B2%E7%AF%84%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92&rlz=1C1GCEU_zh-TWTW820TW820&oq=%E9%98%B2%E7%AF%84%E5%8B%92%E7%B4%A2&aqs=chrome.1.69i57j0.8014j0j7&sourceid=chrome&ie=UTF-8
勒索病毒..靠信件附加檔案點擊感染
被感染的電腦透過網路芳鄰感染其他電腦...
我們公司不是遇到勒索病毒,而是二次被客戶通知有收到更改匯款帳號的郵件,郵件中還秀出我們公司發出去的 email 附檔文件內容,然後,他們把我公司 Domain 最後面的 .com 改成 .corn ,把 a 改成 e

手法完全一樣,但不確定是我方被駭,也有可能是客戶被駭的
94ariel iT邦新手 5 級 ‧ 2018-12-12 09:36:00 檢舉
目前我們公司的信件收發規則太詭異了,
主管階級及工作內容需要的人是可以收到全公司的信,每天信件量約莫1500,就是找不到是哪一封信感染了,所以很頭疼。
信件只是感染的圖徑"之一", 不是"唯一"
harrytsai iT邦新手 5 級 ‧ 2018-12-12 09:55:15 檢舉
我公司遇到兩種,一種是檔案被加密,連同中毒者的電腦資料也被加密,當然就很好知道是誰,另一種是file server被加密,但是user電腦沒有被加密,這就很難知道是誰中的。
lard0921 iT邦新手 5 級 ‧ 2018-12-12 10:29:06 檢舉
防範 使用者要自知....資安要有基本概念... 但我知道這些要貫廁所有使用者很難...
通常中獎那一瞬間開始加密 電腦會嚴重LAG 使用者會查覺 這時如果能馬上通報 會減低最少傷害........(親身經歷) 馬上斷網 ..
ESet的防毒 那個版本,有沒有針對郵件主機收發郵件的防毒功能,用什麼軟體收發郵件,OUTLOOK 的話至少要 2013以後的版本才會有更新病毒碼的功能,你的防毒軟體如果無法在郵件主機偵測,那在 郵件軟體的收發也要有偵測功能,如果沒有,那對郵件傳播型的病毒是沒有任何防護能力的,因為0DAY的關係,OS的漏洞真的除非你有積極防堵,光靠功能殘缺的防毒軟體是沒有辦法防堵的
mytiny iT邦大師 1 級 ‧ 2018-12-13 13:08:30 檢舉
如何防治網內的交互感染是重要課題,
避免網內互打,資安已經沒有內外網邊界
備份只是最後的"挽救方案"而已
1
浩瀚星空
iT邦高手 1 級 ‧ 2018-12-12 11:30:12

這的確就是勒索病毒了。

雖然網路上有教很多如何防範。
但其實還是不要太過信任所謂的防毒軟體或是防範軟體之類的東西。

一般來說第一優先要先對員工做資安管理。(好吧,我承認這才是超難達到的目標)

一般公司資料,最好還是有個備份機制,備份機制則需要在備份時才連線或是外部機接上的備份的效果最好。

我個人都會將一些重要的檔案放到外部硬碟上去或是雲端硬碟處理。

目前來說,我處理過4件勒索病毒的案子,只有一件有成功的處理。其原因是他們平常就有養成備份的習慣。且還儲存了快一年的資料。
我從其備份資料中找出還未被加密的檔案。重做系統後再做還原處理。

另外三件就真的無解了。雖然用了還原軟體有找到一些還沒被加密的文件。

所以備份321 很重要

只要有備份,基本上是不用怕被勒索的,當然防毒也是要裝的

0
mytiny
iT邦大師 1 級 ‧ 2018-12-12 13:38:11

各式各樣的綁架問題,
其實在於網路的防護邊界已經沒有內外網的分別
要在內網的防護做到每一個端點間的隔離防護
對於企業或機關來說,實在是耗費預算龐大
但評估後續處理的複雜性與損失金額
又似乎風險不成比例

現在Fortinet有提出資安鐵三角的方案
同時解決資安與管理問題
也無須再花高額網管軟體費用
簡單輕鬆就可以解決困擾
可供樓主參考看看

harrytsai iT邦新手 5 級 ‧ 2018-12-13 10:55:29 檢舉

我聽過很多關於資安的研討會,所有人一致的方式就只有多做備份,文件被加密並不是病毒行為,所以防毒軟體並不能去限制這樣的行為模式。

mytiny iT邦大師 1 級 ‧ 2018-12-13 13:01:57 檢舉

備份是終極挽救方案,注意喔,是"挽救方案"
難道大家不想要防治嗎?
最起碼不要擴散吧!
現在的內網大家都連在一起,(網內互打,笑)
如何防治網內的交互感染是重要課題,
就算不是病毒感染(小弟懷疑)
總也會有些擴散的行為以及中繼Bot回報吧

小弟建議您深入了解該資安鐵三角方案
harrytsai大您會發現原廠解決方案並不只是防毒而已
對於資安研討會的結論只有備份一途,小弟深感訝異
似乎與小弟參加諸多研討會的結論有些出入
或許也請harrytsai大開示一些研討會經驗談

0
yesongow
iT邦大師 1 級 ‧ 2018-12-13 10:59:08

這的確就是勒索病毒了。

事前的防範,異地備份!如果資料量大到無法每日完成備份

可以選用(支援快照)的NAS系統,記得選用具有5分鐘快照一次的機種,你當然可以不用每5分鐘快照一次!

你可以選擇每隔一小時快照or3小時快照,然後保留最新的40個快照還原點

至於防火牆能否還原被加密的檔案?是不可能的!

nas系統可以開啟檔案存取記錄,誰刪除?誰修改?一清二楚!

0
ahwachen
iT邦新手 4 級 ‧ 2018-12-13 20:45:05

不知道,有中[勒索病毒]的人,是怎樣的[經驗過程]?
個人這邊,比較具體的,有兩次經驗。

一、[下載來路不明檔案]:
因為某些需求,以為終於找到需求的檔案,於是下載並執行。
結果,就.....眼看著[桌面]檔案,都變成白色的....

二、開放中的[遠端主機]:
幾經觀察測試,發現有很多國外的IP,都會不斷掃描、入侵,開放中[遠端桌面]的主機。
設定了登入通報機制,發現,主機被[入侵、植入木馬、下載檔案、進行發作]等。

勒索病毒,無藥可醫。
目前,因應的經驗:
1、[遠端主機],只能連入,無法上網。(駭客/木馬,需要能上網去下載工具程式)
2、網路分享的資料夾,都加上$號。(勒索病毒,無法發現網路上[隱藏]的目錄)
3、勤備份:FileServer、同仁的桌面,文件資料夾等。
4、發現中毒,[一定]要先趕緊找到,中毒的那台機器,立刻隔離。

我要發表回答

立即登入回答