報告處理經過
主要為被 SpyHunter 掃出威脅的主機重灌作業系統
並且安裝 Comodo firewall 和設定 firewall & HIPS(未開啟沙箱)
還有看看硬體防火牆內部設定
硬體防火牆內部設定不敢亂動,中間發現有俄羅斯和中國的 IP 試圖登入防火牆
也意外發現應該把關資訊安全的網管人員長期在 BT 下載影片,也不清楚試圖登入的狀況
尤其中勒索軟體後還是照常 BT,讓我非常憤怒
3月2x日和其中一台主機的使用者討論 Comodo 的運作機制時
覺得心虛,認為當時的設定並無法防範勒索軟體
趁著週末繼續找資料,也從本板得知 cruelsister1 有一堆的測試影片
https://www.ptt.cc/bbs/AntiVirus/M.1458238525.A.719.html
然後一直看一直看,直到看到這部影片
https://www.youtube.com/watch?v=vndaOa15bPg
cruelsister1 強烈建議開啟 Comodo 的自動沙箱功能
原因在這篇推文 mayuyu 大解釋得非常清楚
https://www.ptt.cc/bbs/AntiVirus/M.1460337529.A.73B.html
但是我和使用者再討論後,使用者認為 cruelsister1 建議的設定太過強大
啟用 Auto-Sandbox
取消勾選 Do not virtualize access to the specified files/folders
設定 Set Restriction Level 為 Untrusted
(影片內有相關畫面)
這樣造成在沙箱跑的程式所產生的檔案無法儲存在沙箱外,沙箱結束後,檔案也消失了
我也解釋在沙箱內主要觀察程式的行為,沒有問題後再另外設定讓程式在沙箱外跑
這也讓我覺得實在是太自找麻煩了,我本身可以這樣設定,其他人不見得可以
所以我自己定調了,硬體防火牆要強,時時更新,內部網路的主機安裝防毒即可
接下來就是去看硬體防火牆,後續前面有說明了
不過我還是建議開啟沙箱
PS. 另外 cruelsister1 測試 WinAntiRansom 防勒索軟體還未失手,只不過它要付費
※ 引述《fema (Currahee)》之銘言:
: 記錄並請提供意見
: 昨天8點多,同事求救網路磁碟機中一個資料夾內的 doc 變 mp3
: 雖然不久前有看過此篇 http://www.techbang.com/posts/41437
: 不過我不是網管人員,知道就好,平時不會腦內演練
: 平時幫同事解決一些 Office 操作問題,一點也想不到有人會問我這個棘手問題
: (平時角色只是協助網管,主要還是一直在換人的網管人員在管理)
: (有些事情我不太知道,也就是說,我專打游擊)
: 一開始還未意識到是勒索軟體
: 把 mp3 改回、沒用,點開、亂碼,加 mp3 點開、WMP 認不出
: (對,我用我自己的電腦點開 冏)
: (有先用 Avira 免費版掃過,爬文後知道掃不到)
: Google 關鍵字從「副檔名 變 mp3」,此時找到本板文章
: https://www.ptt.cc/bbs/AntiVirus/M.1455414238.A.3AD.html
: 嗯~勒索軟體~(這時還未發覺有多嚴重)
: 注意到問題資料夾內檔案被修改的時間為前天下午3點2X分
: 加上又發現上一層檔案也開始被修改(昨天8點多)
: X的,這時候開始害怕,覺得事情大條了!
: 一直反覆修改關鍵字到「doc mp3 virus」,才找到一篇比較有系統的文章
: http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-mp3-encrypted-files/
: (縮網址 http://goo.gl/g4K5FY )
: 快11點,想找網管人員透過硬體防火牆的日誌,追查是哪台電腦中了正在加密網路磁碟機
: 再把網路磁碟機關掉
: 但又想流量不大,或是太多台存取網路磁碟機,可能會浪費時間追查日誌
: 就直接請網管人員關掉網路磁碟機,但網管人員只拔掉網路線(開著會持續感染嗎?)
: (這時網管人員給我登入防火牆的帳號密碼)
: (中午登入後一看,我的天啊! table 應該只是預設、日誌也沒開啟、沒有記錄到8點多的)
: (我知道1月底有換硬體防火牆這件事,但是沒有設定就上線,很扯!)
: 因為不知道哪台電腦中了,這點讓我覺得很頭痛,每台電腦都要檢查過,不能掛一漏萬
: 下午開始從辦公室電腦一台一台照下列步驟處理:
: 1)下載(不能從其他裝置複製)、更新 SpyHunter
: 2)進入安全模式,用 SpyHunter 掃描(因為在安全模式,不知道能不能掃網路磁碟機)
: 2-1)沒有掃到,標記 OK
: 2-2)掃到,到3)
: 3)請使用者檢查哪些檔案被感染,以便知道災情多嚴重,還有哪些檔案不能備份
: (我看不懂 SpyHunter 掃後哪些是勒索軟體感染的、哪些不是)
: 4)正常開機,用原本就有的防毒軟體掃毒,一樣請使用者檢查哪些檔案被感染
: (沒有的我會下載 Avira 免費版)
: 5)使用者備份正常檔案
: (我想要求使用者一個一個檔案備份,不能整個資料夾備份)
: 6)重灌 Windows,最好整顆硬碟格式化,但是我知道不可能
: 7)安裝軟體防火牆,Comodo Firewall 免費版
: (我很猶豫要不要裝,對生手太煩人了,我也不想一直被問問題)
: (但不裝就沒有 HIPS 來擋惡意軟體)
: 8)安裝防毒軟體,我選擇 Avira 免費版,畢竟我用至少快10年也熟悉
: 9)設定 BitLocker
: (此舉應只能減少災情,打開的檔案應也會被加密)
: 10) CloneZilla 系統碟(?)
: (想做,之後有問題直接還原)
: (但是好像沒有太多儲存空間,我手上只有1T隨身硬碟,估有25台要處理)
: 11)標記 OK
: 機房內有硬體防火牆、網路磁碟機、網頁伺服器等3台Linux伺服器,後續處理如下:
: 硬體防火牆:想先換回過保的舊的防火牆擋一下,或用到壞為止,至少有在把關
: 新的防火牆一定要設定好再上線
: 網路磁碟機:同電腦處理步驟,把正常檔案備份出來
: 但我還在考慮要不要換到雲端碟碟 Google Drive?
: 同步功能無法阻止覆蓋正常檔案,Google Drive有單純備份不覆蓋的功能嗎?
: Linux伺服器:爬文知道也有針對 Linux 的勒索軟體,但不知如何起手?
: 後續預防:
: 0)如果再遇到勒索軟體,立即按關機(或是拔網路線也可以?)
: 1)評估雲端硬碟,不再使用網路硬碟,各台電腦不開分享、各自獨立
: 避免中毒後,持續擴大
: 2)準備乾淨但不儲存重要檔案的電腦,專門掃毒
: 3)教育訓練,真的受不了瀏覽器跳出廣告後
: 重灌系統還是因為習慣不好(或不知道自己在做什麼),再度中毒
: 我非本科,平常也只看些軟性資安文章
: 請不吝提供我意見,看看還有什麼沒有做到的
: 謝謝