私は最近、1台のコンピューターがランサムウェアの亜種に感染し、「ネットワークの男」が見に来るまで電源を切ったオフィスに行っていました(誰も画面の画像を撮っていなかったか、セキュリティの問題についてすべての知識がある)。
感染したコンピューターがイーサネットネットワーク上にあり、他のコンピューターがすべて同じサブネット上にある場合、それらのコンピューターも感染する可能性があります最初のコンピューターが感染した結果?ホワイトリストやスピアフィッシングの欠如などが原因で、独立して感染する可能性があることを理解しています。
短い回答ですが、補足情報がないため、少なくともネットワーク感染のリスクを重要視する必要があります。
主なことは、少なくともマルウェアに名前を付けることができること、そしてこの最初のコンピューターがどのように感染したかを検出することです。
一部のワームは実際にネットワーク接続を使用して感染を拡大します。一般に、パッチを適用していない定義済みのOSの欠陥を対象にローカルネットワークをスキャンし、これを利用して増殖します。ただし、これは次の理由により最悪のシナリオです。
可能であれば、疑わしいネットワークアクティビティを確認することをお勧めします。補足的な犠牲者を見つけるためにネットワークをスキャンする感染したPCの数十は、通常、かなりうるさいです...
一般的なネットワークシナリオでは、ファイルサーバーを実装します。感染したシステムがファイルサーバーにアクセスできる場合、ファイルサーバー上のファイルを暗号化および感染させることができるため、ネットワーク上の他のすべてのシステムが危険にさらされるだけでなく、バックアップポリシーに関して会社が緩慢である場合、会社の知的財産も危険にさらされます。 。
人々が「ネットワークへの感染」について話すとき、私は本当に悪化します。通常、ここでは2つの別々の問題が関係しています。コンピュータが別のコンピュータとサブネットを共有しているからといって、脆弱性が発生することはありません(または、少なくともすべきではない、バグがなければ)。
実際の脆弱性は、感染したコンピュータが持つ資格情報にあります。ドメインに参加しているWindowsコンピューターでは、認証と資格情報の配布を頻繁に処理するActive Directoryサービスが特定のネットワークセグメントで実行され、そのネットワークでのみ機能するため、「ネットワーク」は単なる送信手段ではないという一般的な誤解が生じます。データですが、「信頼できる」ものです。
要するに、感染したコンピュータがアクセスしたマシンを探します。感染したコンピュータがドメインに参加しているWindowsマシンであった場合、感染したマシンとそれにログインしたユーザーがネットワーク上の他のコンピュータにアクセスして、危険にさらされている可能性があります。ドメインに参加していないWindowsマシンの場合は、ネットワーク上の他のマシンが感染マシンのユーザーと同じユーザー名とパスワードを使用しているか、感染マシンが資格情報を保存しているかどうかを確認します(資格情報マネージャーを確認します)ログインアカウント)。
また、ほとんどのランサムウェアはそれほどスマートではないことにも注意してください。これは通常、自己拡散するものではなく、他のエクスプロイトメカニズムによって配信されるペイロードにすぎません。身代金要求を表示できず、ファイルへのアクセスだけでなくコードの実行が必要な場合を除いて、他のコンピューター上のファイルを暗号化することは実際には役立ちません。ネットワークドライブがマップされていない限り、ほとんどのランサムウェアはネットワークに影響を与えません。これは、ローカルドライブとそれらを混同するためです。