SFB 項目經驗-69-如何預防勒索病毒【生產環境90%服務器中勒索病毒】(歡迎你們補充)

 問題描述：

1）某公司Windows域環境徹底中勒索病毒

2）中勒索病毒的服務器

A.  DC\DNS\ADCS (Windows Server 2016)

B.  Office Online Server 2016

C.  Exchange Server 2016

D.  Sql Server 2014 With SP1

E.  Skype for business Server 2015

F.  Veeam Backup & Replicationt備份（Windows Server 2016）

G.  OA\金碟ERP未中（Windows）

H.  文件服務器未中（愛數網盤是Linux）

I.  Cisco UC未中（CUCM 11.5.0是Linux）

J.  不要覺得Linux不會中，網上有人已中勒索病毒

3）中勒索病毒現象

A.  全部服務器能遠程、能重啓。

B.  全部服務器上面應用軟件被加密，不能打開。

C.  全部服務器上面系統之外的文檔被加密，不能打開。

 

解決方法:

1)  網絡隔離

將源網絡隔離(不能一下幹掉，由於有Cisco ×××)，爲新環境單獨新建網段。

2)  所有重作環境

A.  全部Windows服務器安裝最新補丁。

建議：

必定須要按期安裝補丁。

B.  全部Windows服務器開啓Windows防火牆。

建議：

必定須要開啓Windows防火牆。

C.  全部Windows加域計算機，採用WSUS按期更新補丁。（包括服務器和客戶端）。

D.  全部服務器和客戶端安裝殺毒軟件(ESET NOD32)，Linux除外（由於殺毒軟件無Linux版本）。

建議：根據實際狀況選擇!

E.  全部內部文檔採用愛數網盤進行中轉及存檔。

建議：

使用Seafile作企業網盤!

F.  關於備份，建議至少備份3份。（目前未全按如下備份!）

1份Veeam Backup & Replication備份在Windows服務器中。

1份Veeam Backup & Replication備份在磁帶機中。

(某公司的IT總監的朋友公司也大量中勒索病毒，從磁帶機恢復!)

1份Veeam Backup & Replication備份在網絡上。

注意：

目前作法，經過Veeam Backup & Replication備份了3份。

經過防火牆限制了只有備份機能訪問虛擬化環境，其它全部不能訪問此備份機。

3)  建議

參考以上執行，若是你們有好的建議，歡迎反映，一經採納當即更新。