.locked勒索病毒來勢洶洶，科力銳提供“防護-攔截-災備”體(tǐ)系化建設方案

.locked勒索病毒來勢洶洶 科力銳提供“防護-攔截-災備”體(tǐ)系化建設方案

勒索病毒來勢洶洶

從8月28日開(kāi)始，多個社交媒體(tǐ)以及安全技術社區均有用戶稱遭遇“.locked”後綴勒索病毒攻擊，計算機文件被病毒加密，用戶“中(zhōng)招”後，需支付0.2比特币“贖金”(約2.7萬人民币)。截止當前，已經确認來自該勒索病毒的攻擊案例超2000餘例，且該數量仍在不斷上漲，造成諸多企業的恐慌。

  面對勒索病毒大(dà)爆發，傳統單一(yī)防護措施已經失效，客戶亟需“防護-攔截-災備”體(tǐ)系化防護措施。

什麽是._locked勒索病毒？

 如上圖所示，開(kāi)機會出現一(yī)個網頁形式的勒索信encrypted，勒索信上有ID信息，還有黑客的郵箱信息，勒索信告訴你你的數據被加密了，你需要支付相應的贖金來拿回你的數據。

 其次當你進入到了桌面後會發現所有的文件圖标被篡改了，并且無法正常打開(kāi)，再仔細看看文件屬性，你會發現後綴名多了一(yī)段._locked，并且每個文件夾下(xià)還有一(yī)個how_to_decrypt的html文件，下(xià)圖爲中(zhōng)毒後文件夾的情況：

 如何有效防範勒索病毒？

● 在勒索事件頻(pín)發、勒索病毒攻擊常态化趨勢下(xià)，勒索病毒已然成爲當前最熱門安全話(huà)題之一(yī)，一(yī)旦遭遇勒索攻擊，将導緻數據丢失、業務停擺、經濟損失、政府公信力受損、企業聲譽降低，對組織機構造成無法估量的損失。

● 但由于勒索病毒變異率高，使得基于病毒特征庫的方式無法查殺新型變異病毒，并且一(yī)旦繞過網絡安全防護開(kāi)始進行加密操作，用戶沒有任何有效阻斷措施，隻能束手無策。同時，現有的災備體(tǐ)系無論從備份的顆粒度以及災備恢複的時效性，都很難保證數據不丢、業務少停，所以傳統的單一(yī)解決方案很難進行有效防護。

● 在基于對大(dà)量勒索病毒攻擊事件的樣本分(fēn)析之後，科力銳發現勒索變種一(yī)直在變的是攻擊形式，勒索病毒永恒不變的是數據讀取加密方式，爲此結合勒索病毒攻擊流程中(zhōng)的前期網絡攻擊、中(zhōng)期讀取加密以及後期勒索階段，科力銳推出“事前防護+事中(zhōng)攔截+事後應急恢複”三位一(yī)體(tǐ)的勒索病毒專項體(tǐ)系化解決方案，爲客戶數據安全構築起多維度、立體(tǐ)化的安全防線。

事前防護

事前已知(zhī)/未知(zhī)勒索病毒防護

科力銳勒索攔截系統提供對已知(zhī)勒索病毒以及未知(zhī)勒索病毒的防護：

已知(zhī)勒索病毒防護：

我(wǒ)司基于對大(dà)量已知(zhī)勒索病毒的行爲分(fēn)析，形成了獨有的已知(zhī)勒索行爲DNA指紋庫，針對文件系統層、操作系統層、磁盤讀寫層，全方位動态追蹤檢測。将這三個層次的行爲與我(wǒ)司的已知(zhī)勒索行爲DNA指紋庫做比對，去(qù)動态追蹤檢測非法的進程/行爲/離(lí)散性/調用棧等。确保對于已知(zhī)勒索病毒的有效防範。同時，我(wǒ)司在雲端也創建了勒索情報中(zhōng)心，負責收集最新的勒索情況，分(fēn)析最新的勒索病毒行爲特征，定期賦能更新到集中(zhōng)管控平台。

未知(zhī)勒索病毒防護：

由于每台主機，每台應用，都會有自己的行爲特征，比如微信、QQ都會有自己的進程、指令集、API接口、IO調用棧、文件信息熵等等。我(wǒ)司設計通過AI智能學習引擎，去(qù)學習每台主機的硬件特征、指令特征、進程特征、讀寫特征以及文件離(lí)散性特征等。然後對每台主機進行行爲建模分(fēn)析，生(shēng)成的合法行爲DNA指紋庫，所有偏離(lí)合法行爲的進程/行爲/調用棧/信息熵等，都會去(qù)深度檢測，觸發報警機制，确保對未知(zhī)勒索病毒的防護。

事中(zhōng)攔截 事中(zhōng)勒索加密攔截阻斷

科力銳勒索攔截系統提供事中(zhōng)勒索加密攔截阻斷，一(yī)旦勒索病毒開(kāi)始數據讀取加密，勒索攔截系統可針對性的阻塞勒索病毒加密進程，讓主機帶毒運行拒絕被勒索：

通過在高危區域、數據讀取的“個位子”等智能部署誘餌文件，基于科力銳多年來在文件系統、文件磁盤數據塊等讀寫規律的洞察和研發積累，利用獨創的技術，确保勒索病毒攻擊/加密時一(yī)定優先加密誘餌文件。爲了防止勒索誘餌被跳過以及減少主機資(zī)源的占用，讓勒索誘餌輕量有效，引入稀疏矩陣算法，讓誘餌更真實，降低了計算訪存比，占用的資(zī)源也更少。

在确保勒索病毒個進攻的是誘餌文件後，通過讓勒索病毒從指定誘餌文件開(kāi)始，按照一(yī)定的規則循環遍曆圖結構中(zhōng)的所有聯通點，讓勒索病毒無法返回完成對誘餌文件的完成值，從而阻塞勒索病毒加密的進程。爲了防止誘餌很快被加密完成，引入圖遍曆算法自動生(shēng)成誘餌森(sēn)林，并且根據勒索病毒的進程自動匹配誘餌數量，确保堵塞勒索病毒所有加密進程；同時，引入深度優先搜索算法，讓勒索病毒循環遍曆，确保讓勒索病毒一(yī)直在加密的路上，一(yī)直無法返回。

事後應急恢複

事後應急恢複

科力銳數據備份與恢複系統可爲客戶提供全場景的整機保護、真CDP級的持續數據保護、極簡驗證演練、分(fēn)鍾級的快速恢複重建以及秒級的應急接管容災能力。可在勒索病毒加密之後對數據和業務進行恢複，做到最後的兜底，讓數據不丢，業務少停。

科力銳數據備份與恢複系統基于“備份-驗證-演練-容災-恢複”的PDCA循環災備系統建設理論框架，按照實際業務需求出發進行方案設計，提供可視可見的災備體(tǐ)系保障，通過簡單易得、敏捷快速的災備運維管理，确保災備系統可信可靠，爲客戶提供更高質量的數據備份和更完善的業務連續性管理。

事前防護+事中(zhōng)攔截+事後

應急恢複”三位一(yī)體(tǐ)解決方案

構建勒索防護三位一(yī)體(tǐ)閉環體(tǐ)系

面對勒索病毒攻擊，科力銳基于事前對已知(zhī)勒索病毒以及未知(zhī)勒索病毒的防護；事中(zhōng)根據勒索病毒亘古不變的加密過程，有針對性的攔截阻斷加密進程；最後再聯合事後的應急恢複體(tǐ)系，實現全方位的數據保護和業務的快速恢複，構建勒索病毒防護三位一(yī)體(tǐ)的閉環防護體(tǐ)系。

事前防護、事中(zhōng)攔截以及事後應急恢複三層體(tǐ)系相輔相成，相互補充，共同構建三位一(yī)體(tǐ)的防護體(tǐ)系，完成勒索防護能力建設的閉環，做到真正的系統性防護，讓主機帶毒運行拒絕被勒索，讓數據不被竊取拒絕被威脅，讓數據不丢，讓業務少停！

科力銳，讓數字時代的IT業務連續性和數據使用，更可靠、更快速、更簡單！

成功案例

五重防護 | 構建勒索病毒縱深防護體(tǐ)系

業界矚目|科力銳勒索攔截系統發布回顧

南(nán)京市中(zhōng)醫院統一(yī)災備體(tǐ)系建設選擇科力銳

醫院私有雲架構統一(yī)災備中(zhōng)心建設更佳實踐

企業多園區統一(yī)災備建設更佳實踐

文章轉自微信公衆賬号：科力銳科技