[問題] 勒索軟體的事後採證,有可能查的到是從哪個管道來的嗎?
小弟前公司今年一二月份的時候有某個使用者,
只是為了做簡報去查需要的圖片,路徑是:
Google圖片 -> 跳到該網頁瀏覽圖片 -> 在瀏覽網站時中了可能廣告內的勒索加密病毒
(上述是根據與使用者"深度"訪談後,我們所得到的結論)
結果我們公司的"Public"網路磁碟(全公司共用)中的"某個資料夾"內檔案通通被加密了,
且有在該資料夾下放置一張Bitcoin匯款的圖片
會抓出是那個使用者,是因為他的電腦同時間也有本地的資料夾內檔案被加密
第一時間我們就是把那台電腦斷網關機
但我們最怕的事情是在我們控管的網域內"同樣的勒索軟體"再發生一次一模一樣的事故
各位資安先進前輩們,有無推薦的辦法在"事後"查出具體上是:
(1)哪個網站(ex.IP address/FQDN...)?
知道的話就可以設為防火牆黑名單
(2)透過哪種媒介(ex.Memory,Weaponized File,Email Phishing Link...)?
>>如果要從Email Link下手的話,
我們可以調的到他的所有雲端和本地端的郵件
最大的問題問題是要用甚麼工具去查?如何查?查出來有意義嗎?
知道的話就可叫大家刪除此信以免誤點擊並設黑名單
(3)在我們斷網關機前,加密勒索軟體有沒有可能已經把自己偷偷備份到某個硬碟位置?
還是說勒索軟體都是存在記憶體裡,關機後都會自動消失好讓我們查不到?
知道的話就可以避免其他使用者誤觸同樣的勒索軟體
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.72.92.133
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1461828436.A.323.html
※ 編輯: pavlov (211.72.92.133), 04/28/2016 15:32:43
推
04/28 16:12, , 1F
04/28 16:12, 1F
→
04/28 16:12, , 2F
04/28 16:12, 2F
→
04/28 16:13, , 3F
04/28 16:13, 3F
→
04/28 16:13, , 4F
04/28 16:13, 4F
→
04/28 16:14, , 5F
04/28 16:14, 5F
→
04/28 16:14, , 6F
04/28 16:14, 6F
→
04/28 16:15, , 7F
04/28 16:15, 7F
→
04/28 16:15, , 8F
04/28 16:15, 8F
→
04/29 09:20, , 9F
04/29 09:20, 9F
→
04/29 09:21, , 10F
04/29 09:21, 10F
→
04/29 10:48, , 11F
04/29 10:48, 11F
→
04/29 10:50, , 12F
04/29 10:50, 12F
推
04/29 11:31, , 13F
04/29 11:31, 13F
推
04/29 13:13, , 14F
04/29 13:13, 14F
推
05/02 12:15, , 15F
05/02 12:15, 15F
推
05/02 16:28, , 16F
05/02 16:28, 16F
→
05/06 13:25, , 17F
05/06 13:25, 17F
推
05/06 20:09, , 18F
05/06 20:09, 18F
→
05/06 20:21, , 19F
05/06 20:21, 19F
→
05/06 20:22, , 20F
05/06 20:22, 20F
→
05/06 20:24, , 21F
05/06 20:24, 21F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章