求问：小公司7部电脑加服务器，中毒了

kevin2005

Leetecit 发表于 2016-4-4 14:22
google的过滤也真是牛，我也想知道为何比Sophos，ESET等都要好得多。

google财大气粗，gmail现在也算它的核心业务，做的还是挺上心

而且Gmail只要是可执行文件就会过滤掉，也不让你发送可执行文件。根本不管是有毒没毒，统统不行。压缩的也不行，它会解压缩检查

简单省心

大杨树

woshixiaohao 发表于 2016-4-4 14:06
有没有相关资料看看？谢谢

没有分享的。就是我们单位每个新加入的员工要完成的一个网上课程。都是比较common sense的东西， 比如：
1， 不运行任何来路不明的代码
2， 不在未验证页面提交私有信息
3， 不使用u盘或网盘存储敏感信息

克赛前来拜访

需要一个防病毒+防spam的邮件过滤器，如果要免费的话Linux+SpamAssassin+ClamAV可以起这个作用，但需要有经验的IT来搭建。也可以用付费的软件，使用相对简单，自动更新特征库，就是要付年费或者按邮箱付费。

Leetecit

克赛前来拜访 发表于 2016-4-4 14:48
需要一个防病毒+防spam的邮件过滤器，如果要免费的话Linux+SpamAssassin+ClamAV可以起这个作用，但需要有经 ...

为啥不用现成的Untangle Free, Sophos UTM, Smoothwall 等等？

克赛前来拜访

Leetecit 发表于 2016-4-4 18:21
为啥不用现成的Untangle Free, Sophos UTM, Smoothwall 等等？

另外两个没用过，Sophos 效果不理想，太多漏查。

symeteor

就邮件和网站，为什么不用Office 365?

fly_cat

邮件过滤也是分级的，管的太严，很多合法的邮件被滤掉。我们现在就审得很严，但会给用户通知一部分可疑的邮件清单，用户确认是合法就放行。一开始我们还让用户自己放行，结果还是有用户去点勒索链接，搞掉了自己的电脑和服务器。于是我们只好取消用户自己放行的功能，让他们发请求。这增大了我们的工作量，每天都得为一帮人放行邮件。用户缺乏安全意识，真没辙。
而且很多scam邮件，不发附件，用fake网站链接，网站运行script，就直接搞定你的电脑。像CryptoLocker目前还真没有什么好方法对付。
所以用户安全意识很重要，就像你装了锁，但架不住有自己人开门请木马进门。好漂亮的木马

Leetecit

fly_cat 发表于 2016-4-5 12:49
邮件过滤也是分级的，管的太严，很多合法的邮件被滤掉。我们现在就审得很严，但会给用户通知一部分可疑的邮 ...

为啥会这么容易呢，用户/病毒如何取得Admin权限？而且了解一下你们公司用哪个firewall？

xiaolong01

Leetecit 发表于 2016-4-5 15:12
为啥会这么容易呢，用户/病毒如何取得Admin权限？而且了解一下你们公司用哪个firewall？ ...

三两句怎么可能解释得清楚，不然这帮IT还怎么混？

fly_cat

Leetecit 发表于 2016-4-5 15:12
为啥会这么容易呢，用户/病毒如何取得Admin权限？而且了解一下你们公司用哪个firewall？ ...

您狗一下CryptoLocker，他只需要用户当前权限，把用户可以访问所有文档，包括服务器映射的网络驱动器，比如jpg,doc,xls,pdf等等全部加密，然后把秘钥传走。给你留一封readme，让你联系他们，付比特币，给你密钥解密，该病毒已经出到第4版。狗后，你会发现没有厂家提供够好的防范措施。有人甘心付了1000美刀换回自己多年的照片。你能不让用户编辑自己的my documents吗？
我们服务器有备份，无所谓，只是花些时间恢复。你想想你自己家的NAS，要是被搞掉了，你舍不舍得花1000美刀?有多少人给自己的电脑定期做备份？比特币无处追踪，报警也没用。

粘一段一个security solution website的建议：
http://www.pandasecurity.com/mediacenter/malware/cryptolocker/

How to avoid CryptoLocker

This malware spreads via email by using social engineering techniques. Therefore, our recommendation are:
•Being particularly wary of emails from senders you don’t know, especially those with attached files.
•Disabling hidden file extensions in Windows will also help recognize this type of attack.
•We’d like to remind you of the importance of having a backup system in place for your critical files. This will help mitigate the damage caused not only by malware infections, but hardware problems or any other incidents as well.
•If you become infected and don’t have a backup copy of your files, our recommendation is not to pay the ransom. That’s NEVER a good solution, as it turns the malware into a highly profitable business model and will contribute to the flourishing of this type of attack.


提高用户对于scam email的安全意识是根本，其他措施都是补救。

fly_cat

我们公司邮件过滤最早是McAFee, 后来换Symantec, 现在是MIMECAST, 其实过滤邮件技术半斤八两，换来换去只是提供的feature, 价钱等因素。

妞爸

入沙盘，不过对一般用户太麻烦，会用沙盘的估计99%不会去点垃圾邮件

fly_cat

嗯，MIMECAST有沙盘，不过另外要钱，我们公司还在考虑。经济不好，让公司掏钱比较费劲。
自家电脑搞起来太麻烦，不过目前邮件用手机看得多，可以挡住不少windows的

iamii

用Mac就不会中毒了。

IT应该收了你的超级权限。

iamii

如果你们公司有备份也可以。全部格式化掉重系统，数据用磁带机恢复。

Leetecit

fly_cat 发表于 2016-4-5 15:38
您狗一下CryptoLocker，他只需要用户当前权限，把用户可以访问所有文档，包括服务器映射的网络驱动器，比 ...

如果你只是讲cryptolocker, 那就奇怪了，公司的firewall 不过滤可执行程序？本来就是不容许用户运行的了，无论附件，下载，script 都可以过滤, 如果firewall 没用这些功能，那firewall不是半废吗？ cryptolocker并不是只能靠电邮传播，跟所有病毒传播的方式都一样的。靠培训用户这种被动方式（更不是什么“常识”培训），效果不但没保证，而且因为driven by cryptolocker model's financial benefit，现在已经有targeted 攻击手段，只要其中一个员工的电邮被破, 所有contact list上的 都会根据过往电邮的资料被同时攻击，这种电邮是非常有骗性，所有内部和外部的联系人，其中一个落入圈套就成功了。

fly_cat

Leetecit 发表于 2016-4-5 18:35
如果你只是讲cryptolocker, 那就奇怪了，公司的firewall 不过滤可执行程序？本来就是不容许用户运行的了 ...

那不是个附件可执行程序，是个网站链接，你能禁止用户打开网站flash？中招用户打开的是一个faked AU POST 网站。
我自己上网用chrome no script插件，连我老婆孩子都不干，嫌太麻烦。让几百用户上网no script，可能吗？

Leetecit

fly_cat 发表于 2016-4-6 10:43
那不是个附件可执行程序，是个网站链接，你能禁止用户打开网站flash？中招用户打开的是一个faked AU POST ...

看来你不清楚我在说什么

fly_cat

Leetecit 发表于 2016-4-6 11:03
看来你不清楚我在说什么

您来解释解释，我真的不懂。不知您说的那种firewall。哪家公司的，哪个feature，对于未知病毒的code，如何防范。比如足迹网本身就有很多script在运行，如果一种未知的病毒script在其中运行，如何阻止。我的用户没有本机admin权限，用户打开网页中病毒，病毒只操作用户可以编辑的文档。

holyshiiiit

大饼 发表于 2016-4-1 15:36
你运行文件怎么会导致服务器中毒？
估计是那个加密文件的勒索软件。 把服务器上的文件都加密了？ ...

我们公司中过一次这个病毒

maggieeric

cyberlock连ato都中毒了。
根本不可能防范的。