Bloqueio de ransomware como Cryptolocker

Navegue suas respostas
0

Aqui está o cenário. Temos cerca de 15 - 25 máquinas físicas, algumas virtuais, 3 ou 4 servidores de arquivos, dispositivos móveis - as obras em um único domínio. Um usuário relatou que foi infectado pelo CryptoLocker (ransom-ware) e como faz parte do domínio, não há motivos para suspeitar que o software de resgate não bloqueou os arquivos compartilhados nas unidades de rede ou nas unidades compartilhadas de outras máquinas.

Eu notei que o método de infecção era via e-mail (um e-mail muito convincente com um anexo em PDF) então obviamente um filtro de spam decente será um bom ponto de partida, mas o que mais me incomodou foi ter backups em execução que ainda esses arquivos criptografados se alguma máquina for infectada. Como pode ser que meses antes de abrir um arquivo criptografado tenha sido bloqueado (a maioria dos resgate só lhe dá 48 a 72 horas para recuperar seus dados antes de excluir a chave privada) que tipo de coisas podemos colocar em prática para impedir que isso aconteça , além de um decente A / V e filtro de spam.

Me preocupa que alguns deles possam escapar pela rede e não há nada que possamos fazer quando a máquina estiver infectada.

    
por ScottMcGready 01.02.2014 / 22:58

2 respostas

3

As it could be months before opening a crypto'd file has been locked (most ransom-ware only give you 48 - 72 hours to recover your data before deleting the private key) what sort of things can we put in place to stop this happening, besides a decent A/V and spam filter.

Você está fazendo tudo o que pode. Parece que a educação do usuário deve ser adicionada à lista.

It worries me that a few of these might slip through the net and there's nothing we can do once the machine is infected.

Backups regulares off-line são a única maneira de combater malware como o Cryptolocker. O Cryptolocker é apenas o começo.

    
por 01.02.2014 / 23:11
1

Na empresa anterior, trabalhei para usarmos um GPO para bloquear todos os programas e aplicativos de usar o diretório TEMP, o que parecia ajudar bastante. Nosso firewall mostrou várias tentativas do Cyrpto para entrar no sistema, mas todas falharam. Também realizamos backups regulares, diários, semanais, mensais e trimestrais. Além dessas etapas, a única outra opção é a educação do usuário.

    
por 30.05.2014 / 15:54

Tags

A tela do laptop flui como um líquido no interior ao mover a tampa Quem está atualmente conectado ao meu DSL-Modem?