Come posso scoprire come si è infiltrata Cryptowall nella mia rete di lavoro? [chiuso]

Naviga le tue risposte
2

Ieri al mattino un collega ha notato che tutti i file nella cartella pubblica del file server erano crittografati e avevano il 

[email protected]
testo aggiunto a ciascun nome file.

La cartella pubblica è visibile da chiunque nella rete locale cablata e chiunque può scrivere / leggere / eseguire su questa cartella.

Nonostante ciò, il file server sembra essere a posto; nessun utilizzo elevato della CPU, nessun messaggio di riscatto o qualsiasi modifica strana alla GUI. Anche i file degli utenti locali del server appaiono intatti.

Per non parlare del fatto che il file server non può accedere a Internet apposta.

Il problema è che non riesco a trovare come è entrato nella mia rete, dal momento che tutti i computer sembrano andare bene. Tranne che per la cartella pubblica, tutti i file sono validi, nessun programma sospetto, tutti i computer e il file server funzionano con ESET Smart Security, nessun utilizzo di CPU elevato e usiamo solo un computer per inviarlo via e-mail.

Qualche idea su come posso scoprire quale computer è stato infettato?

FYI Non esiste un firewall hardware, tutti i computer e mfps si connettono a uno switch che ottiene la connessione Internet da un router One Access 150.

    
posta marksf 06.11.2015 - 08:49
fonte

1 risposta

1

Hai affermato di non avere un firewall hardware, non c'è alcuna garanzia che l'attacco provenga da una macchina interna. Potresti esporre numerose porte a Internet.

Un firewall a livello aziendale aiuta a prevenire futuri attacchi e la maggior parte di questi dispositivi è dotata di funzionalità di registrazione del traffico che potrebbero aiutare le indagini forensi.

La maggior parte delle soluzioni AV di livello enterprise fornisce una piattaforma di amministrazione centrale che estrae nuovi aggiornamenti delle definizioni e registra tutti i file / macchine infetti. Ho più familiarità con l'offerta di Trend al riguardo, tuttavia è necessario esaminare autonomamente ciascuna soluzione per verificare che soddisfi le proprie esigenze aziendali.

Per il tuo problema immediato, dovresti isolare la tua rete da internet. Quindi isolare ogni macchina (inclusi server e portatili BYOD, ecc.), Eseguire un controllo antivirus autonomo su ogni singola macchina. Devi ricollegare le macchine alla rete solo dopo che sono state verificate come pulite.

Sì, è lungo e laborioso, ma il lato positivo è che in questo fine settimana puoi ottenere un rimborso straordinario per gli straordinari.

    
risposta data 06.11.2015 - 11:31
fonte

Leggi altre domande sui tag

Questo codice è vulnerabile agli attacchi basati su DOM? Come possiamo "avviare" lo scambio di posta con PGP