IT运维那些事儿---你有勒索,我有信服
  

清风慕竹 发表于 2019-9-10 16:57

1、问题描述
     前段时间销售告诉我大连某集团没有杀毒软件,这段时间发现病毒泛滥,能否帮忙处理一下。于是我带着深信服的EDR前去安装处理,今天客户告诉我发现QQ安全卫士和另外一个文件中了勒索病毒,询问我能否远程帮忙查看一下,另外确定一下EDR查杀出来用友软件的程序是不是出现了问题。
2、问题处理
2.1、查看病毒事件的相关详情
1.png 2.png
2.2、通过感染文件路径,查看病毒
3.jpg 4.png
2.3、确定是否是病毒文件
      通过查看分析病毒文件样本,确定QQ安全卫士不是勒索病毒,另外一个为勒索病毒,进行隔离处置。
注:由于edr开启了勒索诱饵防护功能,会生成一个诱饵文件夹,请求电脑管家扫描这个文件夹就会被识别成勒索病毒。现在3.2.13r1默认只对360放通,将QQ安全卫士加入白名单就可以了
2.4、处理用友软件程序
QQ图片20190910165131.png
2.5、上次文件至www.virustotal.com进行判断
QQ图片20190910165149.png
3、深信服产品关于勒索病毒处理对策
3.1、EDR
(1)查看EDR病毒软件版本
QQ截图20190910132224.png
(2)防护策略配置
QQ截图20190910132610.png
QQ截图20190910132643.png QQ截图20190910132719.png
(3)病毒查杀设置
QQ截图20190910132828.png
3.2、NGAF
(1)确定版本,在8.0.5及以上,有SAVE杀毒的功能模块,规则库最新
QQ截图20190910133604.png
(2)用户防护策略配置
QQ截图20190910134827.png QQ截图20190910134903.png QQ截图20190910134930.png
(3)业务防护策略配置
QQ截图20190910135103.png QQ截图20190910135139.png QQ截图20190910135157.png
3.3、SIP
确定IOC情报库版本为最新版本即可。
QQ截图20190910131459.png
3.4、其他
输入edr.sangfor.com.cn,在响应工具里,深信服提供了相关的勒索病毒工具。
QQ截图20190910120351.png QQ截图20190910120418.png
4、其他思路
4.1、首先,拔掉你的网线(或者断开你的wifi)。备份一下你的重要文件
4.2、打开“注册表编辑器”
QQ截图20190910142057.png
4.3、找到键值HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → services → NetBT → Parameters
QQ截图20190910142305.png
4.4、空白的位置点右键,新建一个DWORD值
4.5、DWORD值取名为SMBDeviceEnabled,点击确定;
QQ截图20190910143655.png
4.6、双击,把这个键的“数据数值”改为0(其实默认它就是0),点击确定;
QQ截图20190910143729.png
4.7、打开服务;
QQ截图20190910143803.png
4.8、找到Server服务双击,然后选择“禁用”和“停止”,确定
QQ截图20190910144033.png
4.9、重启电脑,输入命令“netstat -an”查看端口是否关闭。
QQ截图20190910144210.png
总结:勒索病毒虽然品种众多,但是深信服安全产品在防护方面做得还是很不错的。若真正出现问题,各位可以打深信服的电话4006306430 详细咨询。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版版主

48
35
1

发帖

粉丝

关注

本版热帖

本版达人

清风慕竹

本周分享达人

新手14474...

本周提问达人

#厉害了! 我的技术等级已提升#