.locked勒索病毒來勢(shì)洶洶 科力銳提供“防護(hù)-攔截-災(zāi)備”體系化建設(shè)方案
勒索病毒來勢(shì)洶洶
從8月28日開始,多個(gè)社交媒體以及安全技術(shù)社區(qū)均有用戶稱遭遇“.locked”后綴勒索病毒攻擊,計(jì)算機(jī)文件被病毒加密,用戶“中招”后,需支付0.2比特幣“贖金”(約2.7萬人民幣)。截止當(dāng)前,已經(jīng)確認(rèn)來自該勒索病毒的攻擊案例超2000余例,且該數(shù)量仍在不斷上漲,造成諸多企業(yè)的恐慌。
面對(duì)勒索病毒大爆發(fā),傳統(tǒng)單一防護(hù)措施已經(jīng)失效,客戶亟需“防護(hù)-攔截-災(zāi)備”體系化防護(hù)措施。
什么是._locked勒索病毒?
如上圖所示,開機(jī)會(huì)出現(xiàn)一個(gè)網(wǎng)頁(yè)形式的勒索信encrypted,勒索信上有ID信息,還有黑客的郵箱信息,勒索信告訴你你的數(shù)據(jù)被加密了,你需要支付相應(yīng)的贖金來拿回你的數(shù)據(jù)。
其次當(dāng)你進(jìn)入到了桌面后會(huì)發(fā)現(xiàn)所有的文件圖標(biāo)被篡改了,并且無法正常打開,再仔細(xì)看看文件屬性,你會(huì)發(fā)現(xiàn)后綴名多了一段._locked,并且每個(gè)文件夾下還有一個(gè)how_to_decrypt的html文件,下圖為中毒后文件夾的情況:
如何有效防范勒索病毒?
● 在勒索事件頻發(fā)、勒索病毒攻擊常態(tài)化趨勢(shì)下,勒索病毒已然成為當(dāng)前最熱門安全話題之一,一旦遭遇勒索攻擊,將導(dǎo)致數(shù)據(jù)丟失、業(yè)務(wù)停擺、經(jīng)濟(jì)損失、政府公信力受損、企業(yè)聲譽(yù)降低,對(duì)組織機(jī)構(gòu)造成無法估量的損失。
● 但由于勒索病毒變異率高,使得基于病毒特征庫(kù)的方式無法查殺新型變異病毒,并且一旦繞過網(wǎng)絡(luò)安全防護(hù)開始進(jìn)行加密操作,用戶沒有任何有效阻斷措施,只能束手無策。同時(shí),現(xiàn)有的災(zāi)備體系無論從備份的顆粒度以及災(zāi)備恢復(fù)的時(shí)效性,都很難保證數(shù)據(jù)不丟、業(yè)務(wù)少停,所以傳統(tǒng)的單一解決方案很難進(jìn)行有效防護(hù)。
● 在基于對(duì)大量勒索病毒攻擊事件的樣本分析之后,科力銳發(fā)現(xiàn)勒索變種一直在變的是攻擊形式,勒索病毒永恒不變的是數(shù)據(jù)讀取加密方式,為此結(jié)合勒索病毒攻擊流程中的前期網(wǎng)絡(luò)攻擊、中期讀取加密以及后期勒索階段,科力銳推出“事前防護(hù)+事中攔截+事后應(yīng)急恢復(fù)”三位一體的勒索病毒專項(xiàng)體系化解決方案,為客戶數(shù)據(jù)安全構(gòu)筑起多維度、立體化的安全防線。
事前防護(hù)
事前已知/未知勒索病毒防護(hù)
科力銳勒索攔截系統(tǒng)提供對(duì)已知勒索病毒以及未知勒索病毒的防護(hù):
已知勒索病毒防護(hù):
我司基于對(duì)大量已知勒索病毒的行為分析,形成了獨(dú)有的已知勒索行為DNA指紋庫(kù),針對(duì)文件系統(tǒng)層、操作系統(tǒng)層、磁盤讀寫層,全方位動(dòng)態(tài)追蹤檢測(cè)。將這三個(gè)層次的行為與我司的已知勒索行為DNA指紋庫(kù)做比對(duì),去動(dòng)態(tài)追蹤檢測(cè)非法的進(jìn)程/行為/離散性/調(diào)用棧等。確保對(duì)于已知勒索病毒的有效防范。同時(shí),我司在云端也創(chuàng)建了勒索情報(bào)中心,負(fù)責(zé)收集最新的勒索情況,分析最新的勒索病毒行為特征,定期賦能更新到集中管控平臺(tái)。
未知勒索病毒防護(hù):
由于每臺(tái)主機(jī),每臺(tái)應(yīng)用,都會(huì)有自己的行為特征,比如微信、QQ都會(huì)有自己的進(jìn)程、指令集、API接口、IO調(diào)用棧、文件信息熵等等。我司設(shè)計(jì)通過AI智能學(xué)習(xí)引擎,去學(xué)習(xí)每臺(tái)主機(jī)的硬件特征、指令特征、進(jìn)程特征、讀寫特征以及文件離散性特征等。然后對(duì)每臺(tái)主機(jī)進(jìn)行行為建模分析,生成的合法行為DNA指紋庫(kù),所有偏離合法行為的進(jìn)程/行為/調(diào)用棧/信息熵等,都會(huì)去深度檢測(cè),觸發(fā)報(bào)警機(jī)制,確保對(duì)未知勒索病毒的防護(hù)。
事中攔截 事中勒索加密攔截阻斷
科力銳勒索攔截系統(tǒng)提供事中勒索加密攔截阻斷,一旦勒索病毒開始數(shù)據(jù)讀取加密,勒索攔截系統(tǒng)可針對(duì)性的阻塞勒索病毒加密進(jìn)程,讓主機(jī)帶毒運(yùn)行拒絕被勒索:
通過在高危區(qū)域、數(shù)據(jù)讀取的“個(gè)位子”等智能部署誘餌文件,基于科力銳多年來在文件系統(tǒng)、文件磁盤數(shù)據(jù)塊等讀寫規(guī)律的洞察和研發(fā)積累,利用獨(dú)創(chuàng)的技術(shù),確保勒索病毒攻擊/加密時(shí)一定優(yōu)先加密誘餌文件。為了防止勒索誘餌被跳過以及減少主機(jī)資源的占用,讓勒索誘餌輕量有效,引入稀疏矩陣算法,讓誘餌更真實(shí),降低了計(jì)算訪存比,占用的資源也更少。
在確保勒索病毒個(gè)進(jìn)攻的是誘餌文件后,通過讓勒索病毒從指定誘餌文件開始,按照一定的規(guī)則循環(huán)遍歷圖結(jié)構(gòu)中的所有聯(lián)通點(diǎn),讓勒索病毒無法返回完成對(duì)誘餌文件的完成值,從而阻塞勒索病毒加密的進(jìn)程。為了防止誘餌很快被加密完成,引入圖遍歷算法自動(dòng)生成誘餌森林,并且根據(jù)勒索病毒的進(jìn)程自動(dòng)匹配誘餌數(shù)量,確保堵塞勒索病毒所有加密進(jìn)程;同時(shí),引入深度優(yōu)先搜索算法,讓勒索病毒循環(huán)遍歷,確保讓勒索病毒一直在加密的路上,一直無法返回。
事后應(yīng)急恢復(fù)
事后應(yīng)急恢復(fù)
科力銳數(shù)據(jù)備份與恢復(fù)系統(tǒng)可為客戶提供全場(chǎng)景的整機(jī)保護(hù)、真CDP級(jí)的持續(xù)數(shù)據(jù)保護(hù)、極簡(jiǎn)驗(yàn)證演練、分鐘級(jí)的快速恢復(fù)重建以及秒級(jí)的應(yīng)急接管容災(zāi)能力。可在勒索病毒加密之后對(duì)數(shù)據(jù)和業(yè)務(wù)進(jìn)行恢復(fù),做到最后的兜底,讓數(shù)據(jù)不丟,業(yè)務(wù)少停。
科力銳數(shù)據(jù)備份與恢復(fù)系統(tǒng)基于“備份-驗(yàn)證-演練-容災(zāi)-恢復(fù)”的PDCA循環(huán)災(zāi)備系統(tǒng)建設(shè)理論框架,按照實(shí)際業(yè)務(wù)需求出發(fā)進(jìn)行方案設(shè)計(jì),提供可視可見的災(zāi)備體系保障,通過簡(jiǎn)單易得、敏捷快速的災(zāi)備運(yùn)維管理,確保災(zāi)備系統(tǒng)可信可靠,為客戶提供更高質(zhì)量的數(shù)據(jù)備份和更完善的業(yè)務(wù)連續(xù)性管理。
事前防護(hù)+事中攔截+事后
應(yīng)急恢復(fù)”三位一體解決方案
構(gòu)建勒索防護(hù)三位一體閉環(huán)體系
面對(duì)勒索病毒攻擊,科力銳基于事前對(duì)已知勒索病毒以及未知勒索病毒的防護(hù);事中根據(jù)勒索病毒亙古不變的加密過程,有針對(duì)性的攔截阻斷加密進(jìn)程;最后再聯(lián)合事后的應(yīng)急恢復(fù)體系,實(shí)現(xiàn)全方位的數(shù)據(jù)保護(hù)和業(yè)務(wù)的快速恢復(fù),構(gòu)建勒索病毒防護(hù)三位一體的閉環(huán)防護(hù)體系。
事前防護(hù)、事中攔截以及事后應(yīng)急恢復(fù)三層體系相輔相成,相互補(bǔ)充,共同構(gòu)建三位一體的防護(hù)體系,完成勒索防護(hù)能力建設(shè)的閉環(huán),做到真正的系統(tǒng)性防護(hù),讓主機(jī)帶毒運(yùn)行拒絕被勒索,讓數(shù)據(jù)不被竊取拒絕被威脅,讓數(shù)據(jù)不丟,讓業(yè)務(wù)少停!
科力銳,讓數(shù)字時(shí)代的IT業(yè)務(wù)連續(xù)性和數(shù)據(jù)使用,更可靠、更快速、更簡(jiǎn)單!
成功案例
五重防護(hù) | 構(gòu)建勒索病毒縱深防護(hù)體系
業(yè)界矚目|科力銳勒索攔截系統(tǒng)發(fā)布回顧
南京市中醫(yī)院統(tǒng)一災(zāi)備體系建設(shè)選擇科力銳
醫(yī)院私有云架構(gòu)統(tǒng)一災(zāi)備中心建設(shè)更佳實(shí)踐
企業(yè)多園區(qū)統(tǒng)一災(zāi)備建設(shè)更佳實(shí)踐
文章轉(zhuǎn)自微信公眾賬號(hào):科力銳科技
客服1 
客服2