分類：SEP 病毒事件處理方式

預防措施

• 不要按照電子郵件中不認識的網絡連結或上傳提交任何資料至網路連結中。
• 開啟電子郵件中的附件時要小心。
• 保持作業系統和各項軟體，包括防毒軟體，為最新的版本與最新的更新。
• 進行所有系統／資料定期備份，以避免受到攻擊的嚴重後果。
• 在電子郵件中使用應用程式和裝備控管來阻擋已知附件類型（.SCR、.CAB、.EXE）

如何使用應用程序和設備控制阻止用戶。

1. 登入到 Symantec Endpoint Protection Manager 中（SEPM）。

 

2.  點選「政策」。

 

3.  點選「應用程式與裝置控制」。

 

4.  點選「新增應用程式與裝置控制政策」。

 

5.  在左上角點選「應用程式控制」。

 

6.  點選「新增」。

 

7.  輸入「規則集名稱」、「規則名稱」。

 

8.  於「套用此規則至下列程序」，點選「新增」。

 

9.  請您設定欲禁止下載檔案的程序。例：IEXPLORE.EXE、OUTLOOK.EXE 或 CHROME.EXE。

 

10.  點選「確定」。

 

11.  於左邊規則下方點選「新增」。

 

12.  點選「新增條件」。

 

13.  點選「檔案和資料夾存取嘗試」。

 

14.  於「套用至下列檔案和資料夾」點選「新增」。

 

15.  輸入”*.extension”。例如：“* .EXE，* .SCR”（不帶引號）。

 

16.  點選「確定」。

 

17.  於「動作」頁籤中，讀取嘗試和建立、刪除或寫入嘗試，選取「拒絕存取」。

可另外選取：通知使用者，並設定通知內容，例如「不允許下載該檔案，請聯繫管理員」。

 

18.  點選「確定」。

 

19.  點選「已啟用」，接著選取「正式」。

20.  點選「確定」。

 

21.  點選「是」欲套用該政策。

 

22.  選取欲套用的群組，接著點選「指派」。

23.  選取「是」。

 

24.  套用成功。

 

http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malware

※有確定疑似病毒檔案

請先準備於授權書上查詢 Support ID

1. 開啟網頁 https://my.symantec.com，輸入帳號密碼，點選「登入」。

2. 點選「建立案例」。

3. 選取「技術 (需要選取一種產品)」，於產品名稱輸入產品關鍵字，接著點選產品「Endpoint Protection」，最後點選「繼續」。

4. 於產品版本輸入版本關鍵字，接著選取版本，輸入其他資料，接著點選「繼續」。

5. 確認輸入資料無誤，接著點選「我仍需要協助！」。

6. Case 開啟成功。

7. 接著會收到一封信件，代表 Case 已開啟。

8. 開啟網頁https://submit.symantec.com/websubmit/basic.cgi

9. 輸入相關資訊，並上傳可疑檔案。

10. 接著輸入驗證碼，最後點選「Send to Symantec Security Response」。

11. 完成後會收到信件，請記下「Tracking #」提供給 Support 負責人員或將該封信件轉寄給 Support 負責人員即可。

※無確定疑似病毒檔案

1. 開啟 SEP，點選「說明」接著點選「下載賽門鐵克說明工具…」。

2. 會開啟網頁，接著點選「Download SymHelp for Windows.」。

3. 執行「SymHelp.exe」。

4. 點選「我接受 EULA」。

5. 點選「收集數據已提供支持」。

6. 確定已安裝的產品，接著點選「下一步」。

7. 選取「所有數據」，接著點選「下一步」。

8. 正在收集數據。

9. 輸入相關資訊，點選「打開或更新支持案例」。

10.輸入登入資訊，接著點選「登錄」。

11. 接著依照畫面即可完成開啟 Case，並等待 Support 相關負責人員與您聯繫即可。

 

※有確定疑似病毒檔案	http://www.wellife.com.tw/symantec/?p=8735
※無確定疑似病毒檔案	http://www.wellife.com.tw/symantec/?p=8732