Kinh nghiệm là:
Không tải các file phần mềm có nguồn gốc lạ. Nếu không nghỉ chơi được với cr@ck thì cũng nên chọn nguồn nào tin cậy vào
Mở mail và facebook bằng điện thoại, nếu thấy cần tải về một thứ gì đó thì mới dùng đến máy tính
Một app đám mây khi chạy chỉ tốn 2~30mb ram gì đó thôi, cài và bật nó lên thì không lo mất mát gì cả, có đạp nát cái máy thì tài liệu vẫn lấy về được
Bật tường lửa lên, ít nhiều cũng gây khó khăn cho hacker
Mình làm bên Cyber, với kinh nghiệm đủ dùng của mình. Mình bổ xung thêm đoạn "Backup dữ liệu lên mây và ổ cứng ngoài". Nếu bạn backup data vào ổ cứng ngoài mà bạn vẫn kết nối sau khi đã backup thì attacker vẫn có thể encrypt cả data đó. Vậy, sau khi backup lên external drive thì bạn nêu rút ra và cất ở chỗ nào quý báu nhé. 😁
Dành cho bạn nào là sys admin thì mình cũng có lời khuyên là nên dùng Unix system để giảm rủi ro như Debian hay Ubuntu thay thế windows ( Cái này bạn nào chuyên cũng hiểu được windows về mảng này shabby af :D ). Nếu đang có kế hoạch chọn OS nào để dùng thì nên Linux distro . ( Như wannacry chỉ tấn công được người dùng windows thôi, còn ransomeware khác thì số ít có trên Linux platform ).
Cho bạn nào đang dùng windows. Bạn có thể check nhanh bằng cách. Mở cmd lên ( Windows+R), rồi gõ " netstat -ano". Ở đây nó sẽ list ra tất cả các port đang listening. Thường thì backdoor hay ransomware nó hay listen ở những port: 137, 139, 445 (TCP) . Nếu bạn thấy những ports này đang listening thì bạn nên tìm cách "chịch" nó nhé :D
Như hình, bạn thấy "foreign address" là 0.0.0.0. Có nghĩ là máy của mình đang lắng nghe mình ( tai mình có tạo backdoor cho lab cuả mình ). Nếu của bạn xuất hiện "foreign address" như 84.12.200.56 chẳng hạn với port 445 thì là em nó nhé )
Cơ quan em có cái máy chủ chạy Window Server 2012 thì dùng pm diệt virus nào đc các bác?
Em tìm Window Essential, KIS, ... mà nó báo là k0 chạy đc trên nền tảng này
@Duy Luân
Em k0 phải là chuyên IT, Chỉ là hơn mng chút về IT nên lãnh đạo giao cho lo cái vụ này, làm em cũng Muốn khóc quá 😔(
Sao em tìm trong máy k0 thấy có Window Defender nhỉ?
Hay tại máy dùng Window Server 2012 R2 bản cờ-rắc?
@virtue255
Máy sv nên dùng win bản quyền, máy con thì dễ. Win sv nay tầm 15tr. Mấy cái phần mềm diệt virus cài máy con không cài được lên sv đâu. Inb mình.
@toantddh9x
bác muốn dùng dit trâu nào với gờ-nôm đều dc, bác nhiên cứu cái dash to panel, topicon plus, arc-theme, paper icon, La capitaine icon
Con trên mình dùng linuxmint xfce rồi cài gnome lên -> nhẹ nhưng tích hợp chưa chuẩn với gtk3, bác có thể dùng ubuntu gnome (tiện ích nhiều tính năng sẵn có cài dùng) còn fedora gnome, openSUSE gnome -> phải customize hơi mệt
@Hoàng Melody
Nếu virut có quyền quản lý file thì vẫn có thể bị như thường. File hệ thống thì ko sao tại ko có quyền còn data thì mình nghỉ vẫn chết (nếu máy chưa root nha chứ root rồi thì có thể toàn quyền á)
Win lậu update bình thường, thường thì bọn nó hay khóa cái update đi nên mình phải vào mở ra. Win 7 lậu ..... xong up lên Win10 vẫn update bt .Cả cty mình dùng win lậu hết nhưng mình cho update hết nên may chưa thấy ai bị dính 😁
Thấy các bạn nói Linux không bị dính virus WannaCry em xin đính chính. giải thích chút
1. WannaCry không lây nhiễm trực tiếp vào Linux
2. Tuy nhiên, nếu máy con (client bị nhiễm) mà có truy cập vào share folder từ Linux (NFS, SMB...) mà có quyền ghi thì máy con sẽ mã hóa những dữ liệu này -> dữ liệu share từ Linux server vẫn có nguy cơ mã hóa.
Các cách phòng tránh:
Chia ra làm 2 nhóm:
Nhóm 1: backup dữ liệu: các dữ liệu phải được backup thường xuyên, sau khi backup phải để offline, nếu có điều kiện thì lưu trữ offsite cách công ty khoảng 30 km (ví dụ thuê safebox ở ngân hàng hay datacenter nào đó lưu trữ các bản backup này).
1 thứ mà các IT Admin hay quên backup hoặc không có điều kiện là data nằm trên máy client đặt biệt là file PST (outlook) vì file này tương đối lớn, 1 số phần mềm backup thông thường không backup được file đang mở...
Nhóm 2: Phòng thủ, rất nhiều lớp
1. Firewall, gateway: nếu có điều kiện thì sử dụng các firewall cứng và các gateway riêng như email gateway.
2. IPS: có thể chặn hành động nếu virus signature chưa được cập nhật. Ví dụ: khi thấy client cố gắng mã hóa hàng loạt file trên server thì IPS drop nó, hoặc khi client kết nối C&C server...
3. Local firewall: mở firewall trên máy con, review các service không sử dụng thì tắt. Ví dụ trong trường hợp WannyCry, đa số máy con không share file hay printer thì tắt SMB.
4. Patch Management: Phải có policy về patch, có thể cần môi trường kiểm thử.
5. Network: chia nhiều VLAN, hạn chế các VLAN được phép truy cập chéo -> giảm số lượng máy tính bị tấn công theo từng vùng.
6. Khóa các loại ổ đĩa di động: USB, CD...
7. Khóa CMOS, không cho boot từ USB, CD...
8. Huấn luyện nhân viên: Security Awareness....
Các chiến lược/bước khác dùng cho các công ty lớn:
PenTest
Review configuration/Architecture (network, Security, server.....) thường xuyên -> đưa ra các mitigation nếu không sửa được
Apply các group policy về security
Vulnerability Assessment
DLP
CTI
NAC/NAP
Tự dưng nghĩ vu vơ điều gì sẽ sảy ra nếu ngày mai báo chí đồng loạt đăng tin "Win bản quyền dính wannacry hàng loạt" nhỉ??!
Liệu bài viết này trên tinhte có còn nguyên : )))