近期因為 WannaCry 太夯了,導致公司大頭們都相當緊張,
雖然小弟跟大夥保證,公司絕對沒問題,不用擔心
但是大家還是一副草木皆兵的樣子,只要有發生電腦有狀況
就一定要最高規格處理,連分公司有狀況都要去看...
不過,卻意外發現最近公司內部接連發生檔案被加密,但沒被勒索
想當然耳,當然是中了勒索,只不過對外連線目的端的中繼站被FW擋了
所以同仁接收不到勒索匯款的畫面。
被加密的檔案副檔名均變更為16進位,看起來就等於4位數的英數字
詳查evenlog,可以發現中標的源頭為隨身碟,裡面有個腳本檔.hta(隱藏檔)
應該為cerber勒索軟體的變種,兇手隨身碟均有被帶回家使用,所以無法確實追查源頭
給大家參考,也請教各位先進,這可能是上了哪些網站論壇而中標?要拿來宣導使用。