問題描述:
1)某公司Windows域環境完全中勒索病毒
2)中勒索病毒的服務器
A. DC\DNS\ADCS (Windows Server 2016)
B. Office Online Server 2016
C. Exchange Server 2016
D. Sql Server 2014 With SP1
E. Skype for business Server 2015
F. Veeam Backup & Replicationt備份(Windows Server 2016)
G. OA\金碟ERP未中(Windows)
H. 文件服務器未中(愛數網盤是Linux)
I. Cisco UC未中(CUCM 11.5.0是Linux)
J. 不要以爲Linux不會中,網上有人已中勒索病毒
3)中勒索病毒現象
A. 所有服務器能遠程、能重啓。
B. 所有服務器上面應用軟件被加密,不能打開。
C. 所有服務器上面系統以外的文檔被加密,不能打開。
解決方法:
1) 網絡隔離
將源網絡隔離(不能一下幹掉,因爲有Cisco ×××),爲新環境單獨新建網段。
2) 全部重做環境
A. 所有Windows服務器安裝最新補丁。
建議:
一定需要定期安裝補丁。
B. 所有Windows服務器開啓Windows防火牆。
建議:
一定需要開啓Windows防火牆。
C. 所有Windows加域計算機,採用WSUS定期更新補丁。(包括服務器和客戶端)。
D. 所有服務器和客戶端安裝殺毒軟件(ESET NOD32),Linux除外(因爲殺毒軟件無Linux版本)。
建議:根據實際情況選擇!
E. 所有內部文檔採用愛數網盤進行中轉及存檔。
建議:
使用Seafile做企業網盤!
F. 關於備份,建議至少備份3份。(目前未全按以下備份!)
1份Veeam Backup & Replication備份在Windows服務器中。
1份Veeam Backup & Replication備份在磁帶機中。
(某公司的IT總監的朋友公司也大量中勒索病毒,從磁帶機恢復!)
1份Veeam Backup & Replication備份在網絡上。
注意:
目前做法,通過Veeam Backup & Replication備份了3份。
通過防火牆限制了只有備份機能訪問虛擬化環境,其它所有不能訪問此備份機。
3) 建議
參考以上執行,如果大家有好的建議,歡迎反映,一經採納立即更新。