1、问题描述 前段时间销售告诉我大连某集团没有杀毒软件,这段时间发现病毒泛滥,能否帮忙处理一下。于是我带着某公司的EDR前去安装处理,今天客户告诉我发现QQ安全卫士和另外一个文件中了勒索病毒,询问我能否远程帮忙查看一下,另外确定一下EDR查杀出来某公司的程序是不是出现了问题。 2、问题处理 2.1、查看病毒事件的相关详情 2.2、通过感染文件路径,查看病毒 2.3、确定是否是病毒文件 通过查看分析病毒文件样本,确定QQ安全卫士不是勒索病毒,另外一个为勒索病毒,进行隔离处置。 注:由于edr开启了勒索诱饵防护功能,会生成一个诱饵文件夹,请求电脑管家扫描这个文件夹就会被识别成勒索病毒。现在3.2.13r1默认只对360放通,将QQ安全卫士加入白名单就可以了。 2.4、处理某公司程序 2.5、上次文件至www.virustotal.com,进行判断 3、某公司产品关于勒索病毒处理对策 3.1、EDR (1)查看EDR病毒软件版本 (2)防护策略配置 (3)病毒查杀设置 3.2、NGAF (1)确定版本,在8.0.5及以上,有SAVE杀毒的功能模块,规则库最新 (2)用户防护策略配置 (3)业务防护策略配置 3.3、SIP 确定IOC情报库版本为最新版本即可。 3.4、其他 输入edr.sangfor.com.cn,在响应工具里,某公司提供了相关的勒索病毒工具。 4、其他思路 4.1、首先,拔掉你的网线(或者断开你的wifi)。备份一下你的重要文件; 4.2、打开“注册表编辑器”; 4.3、找到键值HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → services → NetBT → Parameters; 4.4、空白的位置点右键,新建一个DWORD值; 4.5、DWORD值取名为SMBDeviceEnabled,点击确定; 4.6、双击,把这个键的“数据数值”改为0(其实默认它就是0),点击确定; 4.7、打开服务; 4.8、找到Server服务;双击,然后选择“禁用”和“停止”,确定; 4.9、重启电脑,输入命令“netstat -an”,查看端口是否关闭。 总结:勒索病毒虽然品种众多,但是某公司安全产品在防护方面做得还是很不错的。若真正出现问题,各位可以打某公司的电话4006306430 详细咨询。 |