情况如下。我们有大约 15 - 25 台物理机、几台虚拟机、3 或 4 台文件服务器、移动设备 - 它们在一个域中运行。一位用户报告说他们感染了 CryptoLocker(勒索软件),由于他们是域的一部分,因此没有理由怀疑勒索软件没有锁定网络驱动器或其他机器的共享驱动器上的共享文件。
我注意到感染方法是通过电子邮件(一封带有 PDF 附件的非常可信的电子邮件),因此显然一个像样的垃圾邮件过滤器将是一个很好的起点,但最让我困扰的是,我们正在运行备份,如果任何机器被感染,它仍会备份这些加密文件。由于打开加密文件可能要几个月后才会被锁定(大多数勒索软件只给你 48 - 72 小时的时间来恢复数据,否则会删除私钥),除了像样的 A/V 和垃圾邮件过滤器之外,我们还可以采取哪些措施来阻止这种情况发生。
我担心其中一些可能会漏网,一旦机器被感染,我们就无能为力了。
答案1
因为打开加密文件可能要花几个月的时间,而且文件已被锁定(大多数勒索软件只会给你 48 - 72 小时的时间来恢复你的数据,之后就会删除私钥),除了一个像样的 A/V 和垃圾邮件过滤器之外,我们还可以采取什么措施来阻止这种情况发生。
你已经尽了一切努力。听起来应该将用户教育也加到列表中。
我担心其中一些可能会漏网,一旦机器被感染,我们就无能为力了。
常规的离线备份是抵御 Cryptolocker 等恶意软件的唯一方法。Cryptolocker 只是一个开始。
答案2
在我之前工作过的公司,我们使用 GPO 来阻止所有程序和应用程序使用 TEMP 目录,这似乎很有帮助。我们的防火墙显示 Cyrpto 多次尝试进入系统,但都失败了。我们还定期进行备份,每日、每周、每月和每季度。除了这些步骤之外,唯一的其他选择就是用户教育。