iT邦幫忙

2

病毒攻擊尋求幫助(急)

我司fileserver受到攻擊!
凡是exe檔案都會變成無法使用,在五月底發現的,修改日期也都相同。
後來公司內部有台pc有一模一樣的問題,但EXE檔案修改日期比fileserver還要早,
覺得就是它了,立馬重灌它,以為結束了
但是在昨天又發生了一樣的問題!!!!
fileserver的exe檔案都被修改過,無法使用!!!!
公司內部也找不到有問題的pc,防毒是ofXXXXscan
請問各位前輩,小弟該如何做防禦....

看更多先前的討論...收起先前的討論...
ks1217 iT邦研究生 4 級 ‧ 2020-06-04 15:54:14 檢舉
既然是用趨勢科技的Office Scan,, 有合約在就向趨勢尋求支援,
或確認是否有開啟適當的防駭及防勒索病毒功能.
https://docs.trendmicro.com/zh-tw/enterprise/officescan-110-sp1-server/using-behavior-monit/behavior-monitoring/malware-behavior-blo.aspx

建議步驟
1. 將FileServer管理員密碼變更
2. 所有需要存取的帳號密碼變更
因為不知道你們有幾個人要用, 用最笨的方法
1. 為每一位User建一個專用資料夾(在FileServer), 只有該User有權限
2. 每個資料夾放上幾個 .exe 執行檔,
3. 為每位User建好網路磁碟機
4. 等候魚兒上鉤,, 這樣你就可以知道是哪台電腦有問題了.
如果密碼變更就能解決問題, 就不需要上述步驟了.
lard0921 iT邦新手 5 級 ‧ 2020-06-04 15:56:38 檢舉
有防火牆嗎@@? 公司內部有權限控管嗎? 先知道如何被攻擊吧...
樓主的FILER SERVER 有定期安裝 更新嗎?
很多中毒的主機都沒有定期安裝更新。
趨勢LOW版防毒是沒什麼用的,一堆免費的都做得比他好
基本上建議就是先斷網,直接把所有的交換器集線器拔電源
接著就是一台一台檢測有沒有綁架病毒
趨勢LOW版的打電話問,他會先給你檢測程式讓你跑一遍,
然後要你把抓到的樣本傳給他們,然後過兩周,別家都有解決方案了
他們才會發一個通告說這個樣本已經FIX了,已經把更新丟到雲端下次你們更新就能解決,至於掛掉的機器伺服器的修復責任還是要你們自己處理
講白了就是這樣,小弟當然反應很多次,自己的老闆都是要當天處理
同仁也在位子上等五分鐘一通電話,你還要廣播先講狀況,不然就是會被奪命連環摳,自己想想吧,該如何解,你上來問的時間,問題就該解決了
而不是等我們的解決方案吧,如果是這樣,離職信丟一丟比較快
我司幾年前中過綁架,兩個小時,全公司只要OPEN的網路資料全部被加密
有興趣去看我之前發的文章,心得都在上面
之前不想用趨勢就是因為某一次內部有病毒傳播,結果有三台沒裝某免費版本防毒的電腦中標了,其他的都抓到該病毒,但是趨勢LOW版都抓不到,把樣本送去給趨勢,等了兩周才FIX掉這個問題,但我那三台要重灌要還原要用掉我兩小時的時間,都不知道該不該跟趨勢索賠,一般顧問當時的行情是五千一小時,好歹該賠我一萬的,問過趨勢,趨勢說合約沒寫,要我們自行負責,所以當年要續約時就改能夠抓到病毒的那家防毒公司,買更高級的版本,也比趨勢便宜近五成
1
pis520
iT邦新手 3 級 ‧ 2020-06-05 10:01:41
最佳解答

個人淺見~
我司也遭受過攻擊,幸好我司有備援,所以大約4個小時就全部恢復連線運作,但這4個小時,沒有一刻是平靜的,大家都給你連環扣,火都上來了!!!!/images/emoticon/emoticon18.gif但這是你的工作,你只能用力做!!!

若貴司沒有備援,那你真的就很慘了,想要儘快修復就看你自己的能力了,
在這裡問...大家能給你的意見可能緩不濟急,你還是得想辦法自己來。

貴司若沒有特定的備援設備,也可以藉此向上申請,若還不痛定思痛,那你真的就得過且過吧!
反正沒人在乎,你就能領多久能領多少,直到你不想老去,就打包走人吧!!/images/emoticon/emoticon04.gif

你若有能力,到哪裡都是天下哦!!

/images/emoticon/emoticon08.gif

1
mytiny
iT邦大師 1 級 ‧ 2020-06-04 15:56:02

樓主這狀況是標準的內網交互感染
請務必要特別當心感染擴大
如果能停網全面徹底檢查是最好
不然要當心災情擴大
先趕緊備份重要資料
以及重要主機更換密碼

先貼調查局事件報告
國內重要企業遭勒索軟體攻擊事件調查說明

檢查過後,要將各網段資料傳遞都須先經過IPS/AV檢核為要

3
japhenchen
iT邦研究生 3 級 ‧ 2020-06-04 16:44:04

裝一台電腦裝一樣的系統不裝防毒,開個資源共享設定完整權限給EVERYONE,裡面放幾個不重要的EXE執行檔

當成蜜罐陷阱......然後開著電腦管理→共用資料夾→工作階段,看看哪台電腦正在登入企圖寫入

需要花點時間去一直重新整理畫面就是了...

https://ithelp.ithome.com.tw/upload/images/20200604/20117954YMpR0tZ3i6.jpg

看更多先前的回應...收起先前的回應...

這個方法蠻有效的可以試看看

mytiny iT邦大師 1 級 ‧ 2020-06-04 18:55:52 檢舉

結果找到攻擊的電腦
然後它也同時又打下其他電腦
然後其他電腦又繼續攻擊其他電腦 ???

japhenchen iT邦研究生 3 級 ‧ 2020-06-05 08:00:51 檢舉

馬上斷開那台電腦,重點是"找到"中毒的電腦而不能停工

japhenchen iT邦研究生 3 級 ‧ 2020-06-05 08:08:54 檢舉

只能相信趨勢會保護有安裝的電腦,至於沒安裝才出事的電腦,用此招速速找出來處理掉

2
雷伊
iT邦研究生 1 級 ‧ 2020-06-05 09:47:51

很多朋友防火牆外對內堵的水洩不通但完全沒有做內部防禦
防火牆內對內禁用SMB Port後看日誌就知道是哪台還有流量
UDP 137、138及TCP 139、445 port

一家企業的IT會開啟資料夾Everyone權限可存取的工程師,敬你是勇者!
PS:還在使用Win7走SMB 1.0的人也是

0
jaylian13
iT邦新手 5 級 ‧ 2020-07-03 11:16:09

可以在fileserver前面加裝一台有UTM功能(要有anti-virus和IDP入侵偵測防護)的防火牆
然後資料一定要備份到NAS
因為不管再厲害的防火牆,都是不怕一萬只怕萬一,資料隨時備份好才是正解~

防火牆一定要選有UTM功能的,不能只是SPI防火牆
可以看看zyxel,是國產品牌,防護功能有anti-virus和IDP入侵偵測防護,也有其他防垃圾郵件、應用程式管理、、、等

我要發表回答

立即登入回答