◎網路磁碟機勒索病毒防制策略

學校在5月份時訓育組電腦不幸中了勒索病毒,不但個人電腦中獎之外,連帶影響到了提供內網檔案交換的網路磁碟機,所幸發現得早,僅磁碟機(L)教材分享區被加密完成,其餘的磁碟機M、P、S、T、U、W、X、Y、Z等磁碟逃過一劫。

這回中的勒索病毒會將所有檔案副檔名變更為*.vospaooff檔。

且依照慣例會在所有目錄中產生一個readme.txt的訊息文字檔

遺憾的是防毒軟體officescan XG SP1因為新北的授權在兩個月前到期,發生災難時尚未完成換約以致無法發揮功用。其實我對officescan是很有信心的,這麼多年來本校從officescan 6開始升級至現在的第12版,印象中自第11版開始具備對勒索病毒的防護能力,當然前提是必須要有做相對應的設定啦,怎麼設定之後再另寫一篇作紀錄,這邊就單純紀錄這次中毒的一些資訊與思考日後的因應策略。

無獨有偶的是在訓育組中獎相隔幾天之後,設備組也中獎了,但這次是我先發現而不是被使用者告知的,會發現就是因為officescan會自動寄中毒通知的郵件給我,當下看到時嚇一跳想說怎麼又來了!但這次並未發生災情,因為officescan幫忙處理掉了這次災難,由下圖可以看到有一筆未經授權的檔案加密動作,處理行動是已終止,檔案已被還原。

忽然想起之前在針對勒索病毒進行officescan設定時有勾選到相關的作法,大致上是在行為監控裏頭有啟用當發現檔案被未經授權的變更時會先將檔案進行備份,在officescan處理完病毒之後再將備份檔案倒回,因此設備組這次才能幸免於難。

短短一周內發生兩起勒索病毒事件,神經也忽然緊繃了起來思考在能力所及的前提下哪邊可以再加強?同時也在思考另一個問題,兩台行政電腦都有officescan,為何在授權到期(逾期更新兩週)的期間一台淪陷而另一台被救回?難道淪陷的訓育組電腦中的是較新型的勒索病毒所以防毒軟體辨識不出來而設備組中的是舊的勒索病毒所以能被抓到?我這邊officescan server向來都是自行維護,防毒伺服器每小時更新一次防護元件,每三小時更新一次用戶端(確保用戶端每日更新一次組態),而且全校電腦採用雲端截毒,勒索相關防護機制也依照相關文件進行設定了還能怎麼做?

如果真要停掉AD所有的網路磁碟機指派那行政鐵定哇哇叫,大家習慣了這樣檔案交換的便利性,但smb服務造成的風險實在又難以承擔…我也不希望因噎廢食就此停掉相關服務,好的機制要能持續才有我在這個位置存在的價值…

最後再度檢視了一遍所有共用磁碟並進行權限限縮與微調之後決定調整DFS分散式檔案系統的複寫模式,停掉原本每個磁碟機都會同步進行的2-3份完整複寫改為寒暑假或不定期手動啟用傳送時機,這個調整是為了避免當其中1份資料被感染勒索病毒時同步將第2份或第3份同步複寫的檔案也加密,當發生災難時可以放心的砍掉受感染的整個磁碟機,狀況解除後再啟用備用的成員複寫回主要成員,但缺點就是會缺少近期最新的資料。

接著再搭配檔案伺服器資源管理裏頭的檔案檢測機制,建立限制勒索病毒進行存取的檔案群組,並羅列出一些已知勒索病毒加密後的副檔名。

將此檔案群組加入檢測範本後再套用到所有網路磁碟機

測試一下在網路磁碟機先新增一個新文字文件.txt

然後手動將其副檔名改為其中一種勒索病毒副檔名如*.8lock8時,檔案檢測就會偵測到不允許存取的變更,如此就能針對網路磁碟機提供多一層防護,不過一樣有缺點,就是只堵得到已知型態的副檔名且必須是我有加入到檔案群組的限制中,新型態的勒索病毒或是我漏掉沒輸入的一樣還是滲透得過去,這部分主要還是得依賴防毒軟體發揮功效以及好好教育使用者了。

底下表列由網路上搜尋整理而來的已知副檔名,方便日後進行資料比對與新增,資料來源主要是整理自防毒軟體AVAST官網免費勒索軟體解密工具

已知勒索軟體加密副檔名


.Alcatraz
.ACRYPT
.{arzamass7@163.com}.xtbl


.BUGSECCCC
.bart.zip
.blackblock
.bloccato
.btc


.CRYPTOSHIELD
.CAZZO
.code


.dll555
.duhust
.doomed


.encrypted
.Encryptedfile
.ecovector2@aol.com.xtbl
.ecovector2@aol.com.xtbl
.exploit
.epic
.encrypted


.frozen
.FuckYourData
.fun
.fucked
.flyper


.GSupport0
.GSupport1
.GSupport2
.GSupport3
.GSupport4
.GSupport5
.GSupport6
.GSupport7
.GSupport8
.GSupport9
.globe
.gsupport
.gefickt
.gws
.{Greg_blood@india.com}.xtbl


.hush
.Hollycrypt


.johnycryptor@hackermail.com.xtbl
.J


.kyra
.kratos
.krypted
.kkk


.lock
.locked
.lesli
.locked
.lok


.mecpt
.monstro
.{milarepa.lotos@aol.com}.CrySiS


.purged
.payb
.pays
.payms
.paymds
.paymts
.paymst
.payrms
.payrmts
.paymrts
.paybtcs
.porno
.payransom
.pornoransom


.rdmk
.rmd
.rscl
.raid0
.raid1
.raid2
.raid3
.raid4
.raid5
.raid6
.raid7
.raid8
.raid9
.razy


.SecureCrypted
.scl
.saeid
.szf
.siri-down@india.com
.{savepanda@india.com}.xtbl


.unlockit
.uk-dealer@sigaint.org


.versiegelt
.vospaooff
.Vegclass@aol.com.xtbl


.wannaRen


.xyz
.xtbl


.zendrz
.zendr0
.zendr1
.zendr2
.zendr3
.zendr4
.zendr5
.zendr6
.zendr7
.zendr8
.zendr9

其它
.34xxx
.8lock8
.암호화됨