各位前輩好
目前確認就是勒索病毒,版本為"gandcrab v5.0.4"
處理方式就是採用,發現後回報,
2.1.斷網
2.格式化整顆硬碟/重新分割
3.還原備份/設定/備份新檔
只能說防範勝於治療,但遇到x隊友的話....
小的最近在公司遇到電腦檔案副檔名遭改成.cgbisqqnh
輕則影響部分檔案、嚴重一點的就是很多檔案被改、
再嚴重的就是公司貿易系統因為走網路磁碟機,所以也因為這樣中招。
目前公司員工個機都是安裝 ESet的防毒。
請問,這該如何找出源頭...或是防範?!
已邀請的邦友 {{ invite_list.length }}/5
這的確就是勒索病毒了。
雖然網路上有教很多如何防範。
但其實還是不要太過信任所謂的防毒軟體或是防範軟體之類的東西。
一般來說第一優先要先對員工做資安管理。(好吧,我承認這才是超難達到的目標)
一般公司資料,最好還是有個備份機制,備份機制則需要在備份時才連線或是外部機接上的備份的效果最好。
我個人都會將一些重要的檔案放到外部硬碟上去或是雲端硬碟處理。
目前來說,我處理過4件勒索病毒的案子,只有一件有成功的處理。其原因是他們平常就有養成備份的習慣。且還儲存了快一年的資料。
我從其備份資料中找出還未被加密的檔案。重做系統後再做還原處理。
另外三件就真的無解了。雖然用了還原軟體有找到一些還沒被加密的文件。
各式各樣的綁架問題,
其實在於網路的防護邊界已經沒有內外網的分別
要在內網的防護做到每一個端點間的隔離防護
對於企業或機關來說,實在是耗費預算龐大
但評估後續處理的複雜性與損失金額
又似乎風險不成比例
現在Fortinet有提出資安鐵三角的方案
同時解決資安與管理問題
也無須再花高額網管軟體費用
簡單輕鬆就可以解決困擾
可供樓主參考看看
我聽過很多關於資安的研討會,所有人一致的方式就只有多做備份,文件被加密並不是病毒行為,所以防毒軟體並不能去限制這樣的行為模式。
備份是終極挽救方案,注意喔,是"挽救方案"
難道大家不想要防治嗎?
最起碼不要擴散吧!
現在的內網大家都連在一起,(網內互打,笑)
如何防治網內的交互感染是重要課題,
就算不是病毒感染(小弟懷疑)
總也會有些擴散的行為以及中繼Bot回報吧
小弟建議您深入了解該資安鐵三角方案
harrytsai大您會發現原廠解決方案並不只是防毒而已
對於資安研討會的結論只有備份一途,小弟深感訝異
似乎與小弟參加諸多研討會的結論有些出入
或許也請harrytsai大開示一些研討會經驗談
這的確就是勒索病毒了。
事前的防範,異地備份!如果資料量大到無法每日完成備份
可以選用(支援快照)的NAS系統,記得選用具有5分鐘快照一次的機種,你當然可以不用每5分鐘快照一次!
你可以選擇每隔一小時快照or3小時快照,然後保留最新的40個快照還原點
至於防火牆能否還原被加密的檔案?是不可能的!
nas系統可以開啟檔案存取記錄,誰刪除?誰修改?一清二楚!
不知道,有中[勒索病毒]的人,是怎樣的[經驗過程]?
個人這邊,比較具體的,有兩次經驗。
一、[下載來路不明檔案]:
因為某些需求,以為終於找到需求的檔案,於是下載並執行。
結果,就.....眼看著[桌面]檔案,都變成白色的....
二、開放中的[遠端主機]:
幾經觀察測試,發現有很多國外的IP,都會不斷掃描、入侵,開放中[遠端桌面]的主機。
設定了登入通報機制,發現,主機被[入侵、植入木馬、下載檔案、進行發作]等。
勒索病毒,無藥可醫。
目前,因應的經驗:
1、[遠端主機],只能連入,無法上網。(駭客/木馬,需要能上網去下載工具程式)
2、網路分享的資料夾,都加上$號。(勒索病毒,無法發現網路上[隱藏]的目錄)
3、勤備份:FileServer、同仁的桌面,文件資料夾等。
4、發現中毒,[一定]要先趕緊找到,中毒的那台機器,立刻隔離。
iThome鐵人賽
看影片追技術