作者rock5101437 (Ketrich)
看板MIS
标题[闲聊] ...快被勒索病毒搞疯了
时间Sun Jun 5 00:56:44 2016
从今年ㄧ月计算至今,我已经处理了7次的勒索病毒案件,各位大大有没有今年还没处理
过的呀
这种勒索病毒有潜伏期,有没有什麽方式能知道厂内还有哪些电脑是已中镖但尚未爆发的
可以分享ㄧ下治毒之道吗QQ
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.195.13.115
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1465059406.A.5FD.html
1F:推 wantsleep: ?7次的感染途径是什麽? 06/05 04:16
2F:推 D02217: Palo Alto可以阻挡KEY回传,可以让整个加密不成功 06/05 17:25
3F:→ rock5101437: 感染途径通常没有一个user会告诉你的... 06/05 19:02
4F:→ rock5101437: 请教D大PaloAlto的设定方式!!因刚好公司也用同型 06/05 19:04
5F:推 miacp: 大家听到使用者的回答第一名应该都是:我甚麽都没做啊。 06/05 19:22
6F:→ littlecut: USER的话能信? 06/05 19:29
7F:推 D02217: 回R大我是没用他们家,不过参加研讨会原厂有展示这一块 06/05 21:06
8F:→ lu760423: 结果同型的没买他的模组xd... 06/05 21:24
9F:推 D02217: 模组不清楚~我只知道後续MA口头报价一年要十万 = = 06/05 21:30
10F:→ deadwood: 不就把CNC server的IP跟URL列在黑名单里过滤掉不是吗? 06/05 23:47
11F:→ deadwood: 这功能在palo alto就叫wildfire,license另计一年收一次 06/05 23:50
12F:→ deadwood: 会每年收钱是因为他们要花心力研究并维护黑名单 06/05 23:51
13F:→ deadwood: 毕竟恶意软体跟恶意网站是一直在更新还有变动的 06/05 23:52
14F:→ chang0206: 人家肯花心力研究,买个LICENSE SUPPORT一下不错啊 06/06 09:18
15F:推 JCC: 我处理三次 两次付钱救回 一次扩散不大砍掉重练 06/06 15:11
16F:推 trumpete: 哇!!! 有付钱救回的案例了!! 06/06 15:32
17F:推 JCC: 因为两次都是弄到nas好几万个档超过1tb 先跟他们讲付钱不一定 06/06 15:53
18F:→ JCC: 救的回 然後拿钱去全家买比特币付了後解药就来了然後就解了~ 06/06 15:53
19F:推 D02217: 我是支持Palo Alto所以有去了解跟问 06/06 22:59
20F:→ D02217: 想 06/06 22:59
21F:→ D02217: 不过一般企业能付的起这种MA不多 06/06 23:00
22F:推 asdfghjklasd: 说实话,花不起钱要不就不要开公司,要不就不要上网 06/07 07:48
23F:→ asdfghjklasd: 花不起钱那是什麽理由,那些钱那比的上机台设备 06/07 07:48
24F:→ asdfghjklasd: 那比的上老板的进口名车 06/07 07:49
25F:推 D02217: 每家公司资讯预算都不一样,并不是每家公司都用的起PaloAl 06/07 11:59
26F:→ D02217: to,不然就不会有其他品牌Fortigate、Cyberoam等,这与买 06/07 11:59
27F:→ D02217: 不起PaloAlto开不开的起公司无直接关系。 06/07 11:59
28F:→ D02217: 今天这个平台是讨论技术,你在哪里扯花不起就不要开公司, 06/07 12:00
29F:→ D02217: 是在有偏离主题,贵公司花的起就去买,干嘛战别人花不起就 06/07 12:00
30F:→ D02217: 不要开公司 06/07 12:00
31F:→ galoislee: 我们的主力是pfSense,有建议的设定吗? 06/09 09:49
32F:→ deadwood: 一般来讲,能在防火墙上面做的大概就网址过滤或阻挡某 06/09 16:46
33F:→ deadwood: 些档案类型的下载(如果可以在防火墙做) 06/09 16:47
34F:→ deadwood: 配合某些专门提供恶意网站清单的组织(可能免费或收费) 06/09 16:48
35F:→ deadwood: 定期更新黑名单做阻挡 06/09 16:49
36F:→ deadwood: 另外pfsense也能整合snort(open source的IPS)等 06/09 16:50
37F:→ deadwood: 都可以强化这方面的能力,但是要怎调校众多rule就得自己 06/09 16:51
38F:→ deadwood: 想办法了 06/09 16:51
39F:→ deadwood: 其实光在防火墙上要阻挡勒索软体还是很有限的 06/09 16:53
40F:推 galoislee: 我们挡中国,俄罗斯。其他再列一些下载或游戏网站的黑 06/10 07:54
41F:→ galoislee: 名单。 06/10 07:54
42F:→ deadwood: 楼上档的网站并不是针对加密勒索软体CNC server,只是 06/10 09:29
43F:→ deadwood: 高风险网站 06/10 10:09
44F:→ deadwood: 要针对CNC server,免费的方式就是自行上网搜寻 06/10 10:12
45F:→ deadwood: 不然就是如前面所说,找个厂商购买服务 06/10 10:13
46F:→ ncueBenson: 我不敢乱回 我怕回了就遇到.. 06/22 22:07