作者SWU ( )
看板MIS
标题Re: [闲聊] ...快被勒索病毒搞疯了
时间Sun Jun 5 12:30:59 2016
※ 引述《rock5101437 (Ketrich)》之铭言:
: 从今年ㄧ月计算至今,我已经处理了7次的勒索病毒案件,各位大大有没有今年还没处理
: 过的呀
: 这种勒索病毒有潜伏期,有没有什麽方式能知道厂内还有哪些电脑是已中镖但尚未爆发的
: 可以分享ㄧ下治毒之道吗QQ
我也分享一下我们的案例
我们大都是透过mail
使用者点了奇怪的mail附件後
觉得电脑慢慢的
之後就看到一堆.locky的档案了
不过在防毒部分加强.js的排除
目前几乎没听到了
处理办法看来大家都差不多
都是和使用者宣告死刑
然後尽可能的救资料
.pst的部分因为加密时outliok大都还开启
所以都可以完整救出
另外还会用acronis完整备份一次
等待日後有新的技术可以还原
-----
Sent from JPTT on my Asus ASUS_Z00AD.
--
半开玩笑式反讽某板徵友文
条件如下
1.女性
2.身高别和我差20cm以上
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.169.197.217
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1465101068.A.B2F.html
1F:推 eric00169: 之前公司是看到.ace的附档名 结果同仁点下去中CRYT1... 06/05 13:38
2F:推 rock5101437: 公司spam是附加档案含js字串隔离,宁可误杀的概念.. 06/05 19:13
3F:推 archidecter: .vbs也请注意~~~~ 06/05 19:16
4F:推 lu760423: 我现在是.ZIP全档...真的是宁可误杀 06/05 21:23
5F:→ kujo: 因为我们公司TPAS有用到.js的档案, 所以不能挡...XDD 06/05 23:16
6F:推 gsm60kimo: 请问将Windows Script Host 工具停用<=是否可有效防堵? 06/06 01:46
7F:推 wantsleep: 也想知道楼上的方法是否有效? 有执行但没测试过 06/06 07:59
8F:→ chang0206: 有点好奇,为何不把js/vbs/scr这类附加档案给挡掉? 06/06 09:20
10F:→ roujuu: 公司吗? 06/13 22:11