[請益] 疑似 TeslaCrypt
記錄並請提供意見
昨天8點多,同事求救網路磁碟機中一個資料夾內的 doc 變 mp3
雖然不久前有看過此篇 http://www.techbang.com/posts/41437
不過我不是網管人員,知道就好,平時不會腦內演練
平時幫同事解決一些 Office 操作問題,一點也想不到有人會問我這個棘手問題
(平時角色只是協助網管,主要還是一直在換人的網管人員在管理)
(有些事情我不太知道,也就是說,我專打游擊)
一開始還未意識到是勒索軟體
把 mp3 改回、沒用,點開、亂碼,加 mp3 點開、WMP 認不出
(對,我用我自己的電腦點開 冏)
(有先用 Avira 免費版掃過,爬文後知道掃不到)
Google 關鍵字從「副檔名 變 mp3」,此時找到本板文章
https://www.ptt.cc/bbs/AntiVirus/M.1455414238.A.3AD.html
嗯~勒索軟體~(這時還未發覺有多嚴重)
注意到問題資料夾內檔案被修改的時間為前天下午3點2X分
加上又發現上一層檔案也開始被修改(昨天8點多)
X的,這時候開始害怕,覺得事情大條了!
一直反覆修改關鍵字到「doc mp3 virus」,才找到一篇比較有系統的文章
http://sensorstechforum.com/remove-teslacrypt-3-0-and-restore-mp3-encrypted-files/
(縮網址 http://goo.gl/g4K5FY )
快11點,想找網管人員透過硬體防火牆的日誌,追查是哪台電腦中了正在加密網路磁碟機
再把網路磁碟機關掉
但又想流量不大,或是太多台存取網路磁碟機,可能會浪費時間追查日誌
就直接請網管人員關掉網路磁碟機,但網管人員只拔掉網路線(開著會持續感染嗎?)
(這時網管人員給我登入防火牆的帳號密碼)
(中午登入後一看,我的天啊! table 應該只是預設、日誌也沒開啟、沒有記錄到8點多的)
(我知道1月底有換硬體防火牆這件事,但是沒有設定就上線,很扯!)
因為不知道哪台電腦中了,這點讓我覺得很頭痛,每台電腦都要檢查過,不能掛一漏萬
下午開始從辦公室電腦一台一台照下列步驟處理:
1)下載(不能從其他裝置複製)、更新 SpyHunter
2)進入安全模式,用 SpyHunter 掃描(因為在安全模式,不知道能不能掃網路磁碟機)
2-1)沒有掃到,標記 OK
2-2)掃到,到3)
3)請使用者檢查哪些檔案被感染,以便知道災情多嚴重,還有哪些檔案不能備份
(我看不懂 SpyHunter 掃後哪些是勒索軟體感染的、哪些不是)
4)正常開機,用原本就有的防毒軟體掃毒,一樣請使用者檢查哪些檔案被感染
(沒有的我會下載 Avira 免費版)
5)使用者備份正常檔案
(我想要求使用者一個一個檔案備份,不能整個資料夾備份)
6)重灌 Windows,最好整顆硬碟格式化,但是我知道不可能
7)安裝軟體防火牆,Comodo Firewall 免費版
(我很猶豫要不要裝,對生手太煩人了,我也不想一直被問問題)
(但不裝就沒有 HIPS 來擋惡意軟體)
8)安裝防毒軟體,我選擇 Avira 免費版,畢竟我用至少快10年也熟悉
9)設定 BitLocker
(此舉應只能減少災情,打開的檔案應也會被加密)
10) CloneZilla 系統碟(?)
(想做,之後有問題直接還原)
(但是好像沒有太多儲存空間,我手上只有1T隨身硬碟,估有25台要處理)
11)標記 OK
機房內有硬體防火牆、網路磁碟機、網頁伺服器等3台Linux伺服器,後續處理如下:
硬體防火牆:想先換回過保的舊的防火牆擋一下,或用到壞為止,至少有在把關
新的防火牆一定要設定好再上線
網路磁碟機:同電腦處理步驟,把正常檔案備份出來
但我還在考慮要不要換到雲端碟碟 Google Drive?
同步功能無法阻止覆蓋正常檔案,Google Drive有單純備份不覆蓋的功能嗎?
Linux伺服器:爬文知道也有針對 Linux 的勒索軟體,但不知如何起手?
後續預防:
0)如果再遇到勒索軟體,立即按關機(或是拔網路線也可以?)
1)評估雲端硬碟,不再使用網路硬碟,各台電腦不開分享、各自獨立
避免中毒後,持續擴大
2)準備乾淨但不儲存重要檔案的電腦,專門掃毒
3)教育訓練,真的受不了瀏覽器跳出廣告後
重灌系統還是因為習慣不好(或不知道自己在做什麼),再度中毒
我非本科,平常也只看些軟性資安文章
請不吝提供我意見,看看還有什麼沒有做到的
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.176.189.163
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1456554057.A.53F.html
※ 編輯: fema (180.176.189.163), 02/27/2016 14:36:04
推
02/27 17:23, , 1F
02/27 17:23, 1F
→
02/27 17:25, , 2F
02/27 17:25, 2F
→
02/27 17:26, , 3F
02/27 17:26, 3F
→
02/27 17:27, , 4F
02/27 17:27, 4F
差點忘了 flash、java,我打算不安裝,使用者要裝自行負責
(不過中了,我也不能負責/不會解密就是)
感謝K大提醒
預定 Avira 免費版 + Comodo Firewall 的配置
用小紅傘是因為我最熟悉,如果用其他防毒,我還要花時間研究設定
還有其他防毒好上手的嗎? BitDefender?
文中兩個「?」
1)網路磁碟機只拔網路線,網路磁碟機內部硬碟還會持續感染嗎?
2)電腦中了勒索軟體,只拔網路線,會阻止電腦內部感染嗎?
※ 編輯: fema (180.176.189.163), 02/27/2016 19:14:50
推
02/27 19:28, , 5F
02/27 19:28, 5F
應該這麼說吧,因為勒索軟體讓我知道硬體防火牆沒有設定好就上線
我計畫的一連串步驟不只針對勒索軟體
一開始知道防火牆沒有設定,的確讓我有錯誤認知
^^^^^^^^
爬文知道,大概去年11月有一波,那時還是
舊防火牆,新防火牆不到一個月就中勒索軟體
→
02/27 20:11, , 6F
02/27 20:11, 6F
這次因為對勒索軟體認識不夠深,沒有立即請使用者關閉電腦
→
02/27 20:14, , 7F
02/27 20:14, 7F
→
02/27 20:14, , 8F
02/27 20:14, 8F
如果這麼說的話,可以設定硬體防火牆規則阻止連線嗎?
爬文也有類似的問題,但沒有解答
※ 編輯: fema (180.176.189.163), 02/27/2016 20:26:10
→
02/27 21:09, , 9F
02/27 21:09, 9F
→
02/28 01:59, , 10F
02/28 01:59, 10F
→
02/28 01:59, , 11F
02/28 01:59, 11F
→
02/28 01:59, , 12F
02/28 01:59, 12F
→
02/28 01:59, , 13F
02/28 01:59, 13F
嗯~對~發現副檔名變成 mp3,再拔網路線就來不及,立即關機才能避免擴大
另外,上班後,我要研究舊防火牆的規則,或許有設定白名單
※ 編輯: fema (180.176.189.163), 02/28/2016 08:41:41
推
02/28 09:22, , 14F
02/28 09:22, 14F
→
02/28 09:23, , 15F
02/28 09:23, 15F
→
02/28 09:23, , 16F
02/28 09:23, 16F
感謝,後續預防會加入權限控管。
對,現在控管很差。
自首一下,雖然我是協助角色,但是設定登入帳號時,有時貪圖方便,都設定同一個。冏
※ 編輯: fema (180.176.189.163), 02/28/2016 11:58:17
推
02/28 12:50, , 17F
02/28 12:50, 17F
推
02/28 12:56, , 18F
02/28 12:56, 18F
→
02/28 12:57, , 19F
02/28 12:57, 19F
之前工作有玩過 Wireshark,但7年多沒有用了
我會和網管人員說以後 sniffer 看看(希望不會再遇到)
※ 編輯: fema (180.176.189.163), 02/28/2016 19:18:30
推
02/28 20:25, , 20F
02/28 20:25, 20F
→
02/28 20:25, , 21F
02/28 20:25, 21F
各位可以往防火牆連線白名單方向思考嗎?
如果勒索軟體一定需要連向密鑰主機,主機不在防火牆白名單內就無法連線
這樣應該可以預防大部分的勒索軟體吧?
算了,當我沒說,比起安裝軟體防火牆,設定硬體防火牆白名單會接到更多客訴
※ 編輯: fema (180.176.189.163), 02/28/2016 21:25:27
推
02/29 17:00, , 22F
02/29 17:00, 22F
推
02/29 17:05, , 23F
02/29 17:05, 23F
絕! 但個人使用的軟體還要重新安裝、重頭設定,而且還要花錢買還原卡。
※ 編輯: fema (180.176.189.163), 02/29/2016 20:40:31
推
03/01 09:49, , 24F
03/01 09:49, 24F
→
03/01 09:50, , 25F
03/01 09:50, 25F
推
03/01 17:12, , 26F
03/01 17:12, 26F
→
03/01 17:12, , 27F
03/01 17:12, 27F
推
03/05 07:37, , 28F
03/05 07:37, 28F
→
03/05 07:37, , 29F
03/05 07:37, 29F
→
03/05 07:38, , 30F
03/05 07:38, 30F
→
03/05 07:39, , 31F
03/05 07:39, 31F
→
03/05 07:40, , 32F
03/05 07:40, 32F
→
03/05 07:41, , 33F
03/05 07:41, 33F
推
03/16 14:10, , 34F
03/16 14:10, 34F
→
03/16 14:10, , 35F
03/16 14:10, 35F
※ 編輯: fema (180.176.186.104), 12/25/2018 20:20:11
討論串 (同標題文章)