請教一下,目前公司有台主機是在進行檔案分享用的
一年半前中了勒索病毒,有備份 重灌後還原後
在上週又中了勒索病毒,重灌後才幾天又再中一次
(每次中的協索病毒似乎又都不同,檔名顯示都不太一樣)
但全公司只有這台有中,公司內清查及檢查大家的電腦或其它公司主機服務並無異常
環境如下:
windows 2016 server (ISO是直接從微軟下載)
上面有開防火牆,只有網芳分享,還有開啟遠端桌面(有換其它PORT)
該台都沒有提供對公司外的服務
公司對外還有一層防火牆雖有對外服務但只限幾台主機(這幾台都沒事)
所有電腦及主機都有安裝防毒軟體
想請教各位大大:
1.網芳分享要如何防範尤佳? (我後來有設定特定帳號才能分享上傳,但還是中)
2.遠端桌面是否會有漏洞可以直接讓病毒可以直接進來? (上網查多半都是說駭客會攻破 但沒看到 病毒可以直接找尋該漏洞進來)
3.以往都是看到有人在網路上按了不該按的或是EMAIL點了附件才中,但盤查似乎沒有人有此經歷 那請教還要再加強什麼的清查及檢測
個人積分:26256分
文章編號:89950972
個人積分:798分
文章編號:89951574
個人積分:6269分
文章編號:89952705
老吉師 wrote:
想請教各位大大:
1.網芳分享要如何防範尤佳? (我後來有設定特定帳號才能分享上傳,但還是中)
2.遠端桌面是否會有漏洞可以直接讓病毒可以直接進來? (上網查多半都是說駭客會攻破 但沒看到 病毒可以直接找尋該漏洞進來)
3.以往都是看到有人在網路上按了不該按的或是EMAIL點了附件才中,但盤查似乎沒有人有此經歷 那請教還要再加強什麼的清查及檢測
漏洞八成是遠端桌面進來的 暴力密碼破解
詳細請看事件檢視簿的安全性
應該會看到一堆錯誤驗證的資訊
解決方法 在WINDOWS防火牆中加入規則 遠端桌面的PORT 僅允許特定IP連線
至於特定IP是那些 你不會不知道吧?
誰要連就誰的IP
但最終要解決的方式還是弄台SYNOLOGY有快照功能的NAS做檔案伺服器吧
不管你怎麼防勒索病毒 都很難完全防堵
入侵方式日新月異 甚至最近還有仿冒年代集團發送侵權信件裡面夾帶防毒軟體都偵測不到的勒索病毒
(當然現在偵測的到了...)
所以與其把心思放在怎麼完全防堵勒索
倒不如把心思放在當遇到勒索病毒 傷害如何降到最低
堵洞是一種 但保全備份機制才是重中之重
我的經驗應該是這樣沒錯!
個人積分:2865分
文章編號:89953257
個人積分:5786分
文章編號:89953661
謝謝分享~
個人積分:4225分
文章編號:89953965
快去關掉,那是勒索病毒的入侵路徑
SMB是網路芳鄰的功能,但是已經更新到2.0 3.0
1.0是給超級舊的電腦在用的,關閉通常沒影響
中華電信: 勒索病毒WannaCry攻擊防護建議
如何在 Windows 中偵測、啟用和停用 SMBv1、SMBv2 和 SMBv3 (部分機器翻譯)
謝謝指導 這我倒是沒注意!
個人積分:141分
文章編號:89955034
斯提諾亞 wrote:
1.這台主機連線到網際網路有沒有鎖
如果沒有請鎖起來,禁止連外...(恕刪)
可連外,如鎖起來是否勒索病毒就無法連回加密?
斯提諾亞 wrote:
2.這台主機除了檔案共享是否還有其他用途?
3.可以連入主機操作除了你還有誰
4.這台電腦是否會有USB隨身碟
5.建議將windows server 檔案伺服器腳色安裝起來
限制檔案存入的類型,把執行檔exe和批次檔bat之類的都鎖起來
6.如果怕被遠端桌面,乾脆將系統裝在虛擬機上,不開遠端桌面,要用就開虛擬機管理介面視窗操作
7.Windows防火牆開起來,如果用途只有檔案分享,就把其他Port都鎖起來
2. NO
3. 沒有
4. 沒有
5. 謝謝指導 這小弟倒是沒有想到可以設定限制的類型來防範
6. 謝謝指導
7.有開防火牆 只有SHARE + 遠端桌面
個人積分:141分
文章編號:89955041
個人積分:141分
文章編號:89955042
