安恒信息:勒索病毒专防专杀组合拳
安恒信息
网络安全前沿资讯、 应急响应解决方案、技术热点深度解读
关注
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。这种恶意行为性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。目前勒索病毒已经在各行各业泛滥,涉及国计民生的重要行业,比如医疗、交通、政府机构、重要企业等都未能幸免。
勒索病毒工作流程图如下:
可以看出,勒索病毒文件一旦进入本地,就会自动运行,并在内网横向扩散,寻找加密对象。文件一旦加密之后,除了拥有解密私钥的攻击者本人,其他人是几乎不可能解密。加密完成后,通常还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。另外,勒索病毒变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
为此,安恒信息经过与勒索病毒大量的斗争经验总结出了下面的组合拳方案,可以彻底阻止已知勒索病毒的入侵和未知勒索病毒的恶意行为。
安恒明御APT攻击(网络战)预警平台,对网络中传输的已知和未知恶意文件样本结合病毒引擎、静态分析和动态分析,对勒索病毒及其变种传播及时告警,对传播类型、传播途径、恶意代码传播、回连CC域名、漏洞利用等行为进行深度解析,准确定位攻击源和感染主机。
通过APT内置沙箱虚拟执行环境,对流量中勒索病毒动态行为分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警。
通过APT云端情报共享,依托于云端海量数据、高级的机器学习和大数据分析能力,及时共享最新的安全威胁情报,发现已知和未知恶意样本传播行为,对勒索病毒更精确的定位分析。
安恒APT产品勒索病毒传播行为预警
安恒信息EDR产品是主机安全与终端管理的一体化解决方案,目前已经服务于政府、医疗、交通、金融、运营商等各行业客户,在全国有大量的勒索病毒处理案例。
安恒信息EDR产品对于已知的勒索病毒的防御方案:
1.使用已知勒索病毒识别引擎及时识别已知勒索病毒。
2.开启已知勒索病毒启动防护引擎,确保已知勒索病毒程序无法启动
3.与云端情报相结合,确保已知勒索病毒库的快速更新。
安恒信息EDR产品对于未知的勒索病毒的防御方案:
1.使用专利级的诱饵引擎方案识别未知勒索病毒。
2.使用专利级的未知勒索加密阻止引擎,阻止未知勒索病毒的加密行为。
上述两个引擎有效识别和阻止未知勒索病毒的加密行为,确保用户数据安全。
安恒信息EDR产品勒索防御功能界面
安恒信息EDR产品还拥有强大的网络流量隔离方案,防止勒索病毒的横向扩散。另外,通过控制中心的批量配置功能可以快速下发策略到指定的或者全部资产;通过自动巡检功能,可以方便的创建定时任务,全天候的检查资产安全状况。
安恒信息EDR产品提供了互联网版本的免费的试用通道:https://edr.dbappsecurity.com.cn(复制该网址至浏览器打开或直接点击下方阅读原文)。
进一步的详情了解可以通过文章下方的热线咨询。
结合安恒公司应急处置工具箱专有的现场取证设备及管理分析平台,可有效的对勒索病毒事件进行追踪溯源。从两方面入手进行溯源:病毒特征方面,通过对现场取证发现的病毒进行分析,可得出其中的远控回连IP,对IP进行分析,即可获知控制着地址;日志方面,除了自动取证获得的日志外,还可导入各安全设备syslog日志进行分析,进一步确认勒索病毒的源头。
安恒信息安全服务团队有大量的勒索病毒事件处理经验,可以快速确认勒索病毒事件,协助用户部署防御和查杀能力,抑制病毒进一步扩散,已多次为客户挽回数据损失,受到客户好评。
有关勒索病毒的咨询、应急处理热线:400-6059-110,安恒信息为您提供全天候的服务。
上周热门文章TOP3