问题描述:

1)某公司Windows域环境完全中勒索病毒

2)中勒索病毒的服务器

A.  DC\DNS\ADCS (Windows Server 2016)

B.  Office Online Server 2016

C.  Exchange Server 2016

D.  Sql Server 2014 With SP1

E.  Skype for business Server 2015

F.  Veeam Backup & Replicationt备份(Windows Server 2016)

G.  OA\金碟ERP未中(Windows)

H.  文件服务器未中(爱数网盘是Linux)

I.  Cisco UC未中(CUCM 11.5.0是Linux)

J.  不要以为Linux不会中,网上有人已中勒索病毒

3)中勒索病毒现象

A.  所有服务器能远程、能重启。

B.  所有服务器上面应用软件被加密,不能打开。

C.  所有服务器上面系统以外的文档被加密,不能打开。

 

解决方法:

1)  网络隔离

将源网络隔离(不能一下干掉,因为有Cisco ×××),为新环境单独新建网段。

2)  全部重做环境

A.  所有Windows服务器安装最新补丁。

建议:

一定需要定期安装补丁。

B.  所有Windows服务器开启Windows防火墙。

建议:

一定需要开启Windows防火墙。

C.  所有Windows加域计算机,采用WSUS定期更新补丁。(包括服务器和客户端)。

D.  所有服务器和客户端安装杀毒软件(ESET NOD32),Linux除外(因为杀毒软件无Linux版本)。

建议:根据实际情况选择!

E.  所有内部文档采用爱数网盘进行中转及存档。

建议:

使用Seafile做企业网盘!

F.  关于备份,建议至少备份3份。(目前未全按以下备份!

1份Veeam Backup & Replication备份在Windows服务器中。

1份Veeam Backup & Replication备份在磁带机中。

(某公司的IT总监的朋友公司也大量中勒索病毒,从磁带机恢复!)

1份Veeam Backup & Replication备份在网络上。

注意:

目前做法,通过Veeam Backup & Replication备份了3份。

通过防火墙限制了只有备份机能访问虚拟化环境,其它所有不能访问此备份机。

3)  建议

参考以上执行,如果大家有好的建议,欢迎反映,一经采纳立即更新。