.locked勒索病毒來勢洶洶 科力銳提供“防護-攔截-災(zāi)備”體系化建設(shè)方案

勒索病毒來勢洶洶

從8月28日開始，多個社交媒體以及安全技術(shù)社區(qū)均有用戶稱遭遇“.locked”后綴勒索病毒攻擊，計算機文件被病毒加密，用戶“中招”后，需支付0.2比特幣“贖金”(約2.7萬人民幣)。截止當(dāng)前，已經(jīng)確認(rèn)來自該勒索病毒的攻擊案例超2000余例，且該數(shù)量仍在不斷上漲，造成諸多企業(yè)的恐慌。

  面對勒索病毒大爆發(fā)，傳統(tǒng)單一防護措施已經(jīng)失效，客戶亟需“防護-攔截-災(zāi)備”體系化防護措施。

什么是._locked勒索病毒？

 如上圖所示，開機會出現(xiàn)一個網(wǎng)頁形式的勒索信encrypted，勒索信上有ID信息，還有黑客的郵箱信息，勒索信告訴你你的數(shù)據(jù)被加密了，你需要支付相應(yīng)的贖金來拿回你的數(shù)據(jù)。

 其次當(dāng)你進入到了桌面后會發(fā)現(xiàn)所有的文件圖標(biāo)被篡改了，并且無法正常打開，再仔細(xì)看看文件屬性，你會發(fā)現(xiàn)后綴名多了一段._locked，并且每個文件夾下還有一個how_to_decrypt的html文件，下圖為中毒后文件夾的情況：

 如何有效防范勒索病毒？

● 在勒索事件頻發(fā)、勒索病毒攻擊常態(tài)化趨勢下，勒索病毒已然成為當(dāng)前最熱門安全話題之一，一旦遭遇勒索攻擊，將導(dǎo)致數(shù)據(jù)丟失、業(yè)務(wù)停擺、經(jīng)濟損失、政府公信力受損、企業(yè)聲譽降低，對組織機構(gòu)造成無法估量的損失。

● 但由于勒索病毒變異率高，使得基于病毒特征庫的方式無法查殺新型變異病毒，并且一旦繞過網(wǎng)絡(luò)安全防護開始進行加密操作，用戶沒有任何有效阻斷措施，只能束手無策。同時，現(xiàn)有的災(zāi)備體系無論從備份的顆粒度以及災(zāi)備恢復(fù)的時效性，都很難保證數(shù)據(jù)不丟、業(yè)務(wù)少停，所以傳統(tǒng)的單一解決方案很難進行有效防護。

● 在基于對大量勒索病毒攻擊事件的樣本分析之后，科力銳發(fā)現(xiàn)勒索變種一直在變的是攻擊形式，勒索病毒永恒不變的是數(shù)據(jù)讀取加密方式，為此結(jié)合勒索病毒攻擊流程中的前期網(wǎng)絡(luò)攻擊、中期讀取加密以及后期勒索階段，科力銳推出“事前防護+事中攔截+事后應(yīng)急恢復(fù)”三位一體的勒索病毒專項體系化解決方案，為客戶數(shù)據(jù)安全構(gòu)筑起多維度、立體化的安全防線。

事前防護

事前已知/未知勒索病毒防護

科力銳勒索攔截系統(tǒng)提供對已知勒索病毒以及未知勒索病毒的防護：

已知勒索病毒防護：

我司基于對大量已知勒索病毒的行為分析，形成了獨有的已知勒索行為DNA指紋庫，針對文件系統(tǒng)層、操作系統(tǒng)層、磁盤讀寫層，全方位動態(tài)追蹤檢測。將這三個層次的行為與我司的已知勒索行為DNA指紋庫做比對，去動態(tài)追蹤檢測非法的進程/行為/離散性/調(diào)用棧等。確保對于已知勒索病毒的有效防范。同時，我司在云端也創(chuàng)建了勒索情報中心，負(fù)責(zé)收集最新的勒索情況，分析最新的勒索病毒行為特征，定期賦能更新到集中管控平臺。

未知勒索病毒防護：

由于每臺主機，每臺應(yīng)用，都會有自己的行為特征，比如微信、QQ都會有自己的進程、指令集、API接口、IO調(diào)用棧、文件信息熵等等。我司設(shè)計通過AI智能學(xué)習(xí)引擎，去學(xué)習(xí)每臺主機的硬件特征、指令特征、進程特征、讀寫特征以及文件離散性特征等。然后對每臺主機進行行為建模分析，生成的合法行為DNA指紋庫，所有偏離合法行為的進程/行為/調(diào)用棧/信息熵等，都會去深度檢測，觸發(fā)報警機制，確保對未知勒索病毒的防護。

事中攔截 事中勒索加密攔截阻斷

科力銳勒索攔截系統(tǒng)提供事中勒索加密攔截阻斷，一旦勒索病毒開始數(shù)據(jù)讀取加密，勒索攔截系統(tǒng)可針對性的阻塞勒索病毒加密進程，讓主機帶毒運行拒絕被勒索：

通過在高危區(qū)域、數(shù)據(jù)讀取的“個位子”等智能部署誘餌文件，基于科力銳多年來在文件系統(tǒng)、文件磁盤數(shù)據(jù)塊等讀寫規(guī)律的洞察和研發(fā)積累，利用獨創(chuàng)的技術(shù)，確保勒索病毒攻擊/加密時一定優(yōu)先加密誘餌文件。為了防止勒索誘餌被跳過以及減少主機資源的占用，讓勒索誘餌輕量有效，引入稀疏矩陣算法，讓誘餌更真實，降低了計算訪存比，占用的資源也更少。

在確保勒索病毒個進攻的是誘餌文件后，通過讓勒索病毒從指定誘餌文件開始，按照一定的規(guī)則循環(huán)遍歷圖結(jié)構(gòu)中的所有聯(lián)通點，讓勒索病毒無法返回完成對誘餌文件的完成值，從而阻塞勒索病毒加密的進程。為了防止誘餌很快被加密完成，引入圖遍歷算法自動生成誘餌森林，并且根據(jù)勒索病毒的進程自動匹配誘餌數(shù)量，確保堵塞勒索病毒所有加密進程；同時，引入深度優(yōu)先搜索算法，讓勒索病毒循環(huán)遍歷，確保讓勒索病毒一直在加密的路上，一直無法返回。

事后應(yīng)急恢復(fù)

事后應(yīng)急恢復(fù)

科力銳數(shù)據(jù)備份與恢復(fù)系統(tǒng)可為客戶提供全場景的整機保護、真CDP級的持續(xù)數(shù)據(jù)保護、極簡驗證演練、分鐘級的快速恢復(fù)重建以及秒級的應(yīng)急接管容災(zāi)能力。可在勒索病毒加密之后對數(shù)據(jù)和業(yè)務(wù)進行恢復(fù)，做到最后的兜底，讓數(shù)據(jù)不丟，業(yè)務(wù)少停。

科力銳數(shù)據(jù)備份與恢復(fù)系統(tǒng)基于“備份-驗證-演練-容災(zāi)-恢復(fù)”的PDCA循環(huán)災(zāi)備系統(tǒng)建設(shè)理論框架，按照實際業(yè)務(wù)需求出發(fā)進行方案設(shè)計，提供可視可見的災(zāi)備體系保障，通過簡單易得、敏捷快速的災(zāi)備運維管理，確保災(zāi)備系統(tǒng)可信可靠，為客戶提供更高質(zhì)量的數(shù)據(jù)備份和更完善的業(yè)務(wù)連續(xù)性管理。

事前防護+事中攔截+事后

應(yīng)急恢復(fù)”三位一體解決方案

構(gòu)建勒索防護三位一體閉環(huán)體系

面對勒索病毒攻擊，科力銳基于事前對已知勒索病毒以及未知勒索病毒的防護；事中根據(jù)勒索病毒亙古不變的加密過程，有針對性的攔截阻斷加密進程；最后再聯(lián)合事后的應(yīng)急恢復(fù)體系，實現(xiàn)全方位的數(shù)據(jù)保護和業(yè)務(wù)的快速恢復(fù)，構(gòu)建勒索病毒防護三位一體的閉環(huán)防護體系。

事前防護、事中攔截以及事后應(yīng)急恢復(fù)三層體系相輔相成，相互補充，共同構(gòu)建三位一體的防護體系，完成勒索防護能力建設(shè)的閉環(huán)，做到真正的系統(tǒng)性防護，讓主機帶毒運行拒絕被勒索，讓數(shù)據(jù)不被竊取拒絕被威脅，讓數(shù)據(jù)不丟，讓業(yè)務(wù)少停！

科力銳，讓數(shù)字時代的IT業(yè)務(wù)連續(xù)性和數(shù)據(jù)使用，更可靠、更快速、更簡單！

成功案例

五重防護 | 構(gòu)建勒索病毒縱深防護體系

業(yè)界矚目|科力銳勒索攔截系統(tǒng)發(fā)布回顧

南京市中醫(yī)院統(tǒng)一災(zāi)備體系建設(shè)選擇科力銳

醫(yī)院私有云架構(gòu)統(tǒng)一災(zāi)備中心建設(shè)更佳實踐

企業(yè)多園區(qū)統(tǒng)一災(zāi)備建設(shè)更佳實踐

文章轉(zhuǎn)自微信公眾賬號：科力銳科技