.locked勒索病毒來勢洶洶 科力銳提供“防護-攔截-災備”體系化建設方案

勒索病毒來勢洶洶

從8月28日開始，多個社交媒體以及安全技術社區(qū)均有用戶稱遭遇“.locked”后綴勒索病毒攻擊，計算機文件被病毒加密，用戶“中招”后，需支付0.2比特幣“贖金”(約2.7萬人民幣)。截止當前，已經確認來自該勒索病毒的攻擊案例超2000余例，且該數量仍在不斷上漲，造成諸多企業(yè)的恐慌。

  面對勒索病毒大爆發(fā)，傳統(tǒng)單一防護措施已經失效，客戶亟需“防護-攔截-災備”體系化防護措施。

什么是._locked勒索病毒？

 如上圖所示，開機會出現一個網頁形式的勒索信encrypted，勒索信上有ID信息，還有黑客的郵箱信息，勒索信告訴你你的數據被加密了，你需要支付相應的贖金來拿回你的數據。

 其次當你進入到了桌面后會發(fā)現所有的文件圖標被篡改了，并且無法正常打開，再仔細看看文件屬性，你會發(fā)現后綴名多了一段._locked，并且每個文件夾下還有一個how_to_decrypt的html文件，下圖為中毒后文件夾的情況：

 如何有效防范勒索病毒？

● 在勒索事件頻發(fā)、勒索病毒攻擊常態(tài)化趨勢下，勒索病毒已然成為當前最熱門安全話題之一，一旦遭遇勒索攻擊，將導致數據丟失、業(yè)務停擺、經濟損失、政府公信力受損、企業(yè)聲譽降低，對組織機構造成無法估量的損失。

● 但由于勒索病毒變異率高，使得基于病毒特征庫的方式無法查殺新型變異病毒，并且一旦繞過網絡安全防護開始進行加密操作，用戶沒有任何有效阻斷措施，只能束手無策。同時，現有的災備體系無論從備份的顆粒度以及災備恢復的時效性，都很難保證數據不丟、業(yè)務少停，所以傳統(tǒng)的單一解決方案很難進行有效防護。

● 在基于對大量勒索病毒攻擊事件的樣本分析之后，科力銳發(fā)現勒索變種一直在變的是攻擊形式，勒索病毒永恒不變的是數據讀取加密方式，為此結合勒索病毒攻擊流程中的前期網絡攻擊、中期讀取加密以及后期勒索階段，科力銳推出“事前防護+事中攔截+事后應急恢復”三位一體的勒索病毒專項體系化解決方案，為客戶數據安全構筑起多維度、立體化的安全防線。

事前防護

事前已知/未知勒索病毒防護

科力銳勒索攔截系統(tǒng)提供對已知勒索病毒以及未知勒索病毒的防護：

已知勒索病毒防護：

我司基于對大量已知勒索病毒的行為分析，形成了獨有的已知勒索行為DNA指紋庫，針對文件系統(tǒng)層、操作系統(tǒng)層、磁盤讀寫層，全方位動態(tài)追蹤檢測。將這三個層次的行為與我司的已知勒索行為DNA指紋庫做比對，去動態(tài)追蹤檢測非法的進程/行為/離散性/調用棧等。確保對于已知勒索病毒的有效防范。同時，我司在云端也創(chuàng)建了勒索情報中心，負責收集最新的勒索情況，分析最新的勒索病毒行為特征，定期賦能更新到集中管控平臺。

未知勒索病毒防護：

由于每臺主機，每臺應用，都會有自己的行為特征，比如微信、QQ都會有自己的進程、指令集、API接口、IO調用棧、文件信息熵等等。我司設計通過AI智能學習引擎，去學習每臺主機的硬件特征、指令特征、進程特征、讀寫特征以及文件離散性特征等。然后對每臺主機進行行為建模分析，生成的合法行為DNA指紋庫，所有偏離合法行為的進程/行為/調用棧/信息熵等，都會去深度檢測，觸發(fā)報警機制，確保對未知勒索病毒的防護。

事中攔截 事中勒索加密攔截阻斷

科力銳勒索攔截系統(tǒng)提供事中勒索加密攔截阻斷，一旦勒索病毒開始數據讀取加密，勒索攔截系統(tǒng)可針對性的阻塞勒索病毒加密進程，讓主機帶毒運行拒絕被勒索：

通過在高危區(qū)域、數據讀取的“個位子”等智能部署誘餌文件，基于科力銳多年來在文件系統(tǒng)、文件磁盤數據塊等讀寫規(guī)律的洞察和研發(fā)積累，利用獨創(chuàng)的技術，確保勒索病毒攻擊/加密時一定優(yōu)先加密誘餌文件。為了防止勒索誘餌被跳過以及減少主機資源的占用，讓勒索誘餌輕量有效，引入稀疏矩陣算法，讓誘餌更真實，降低了計算訪存比，占用的資源也更少。

在確保勒索病毒個進攻的是誘餌文件后，通過讓勒索病毒從指定誘餌文件開始，按照一定的規(guī)則循環(huán)遍歷圖結構中的所有聯通點，讓勒索病毒無法返回完成對誘餌文件的完成值，從而阻塞勒索病毒加密的進程。為了防止誘餌很快被加密完成，引入圖遍歷算法自動生成誘餌森林，并且根據勒索病毒的進程自動匹配誘餌數量，確保堵塞勒索病毒所有加密進程；同時，引入深度優(yōu)先搜索算法，讓勒索病毒循環(huán)遍歷，確保讓勒索病毒一直在加密的路上，一直無法返回。

事后應急恢復

事后應急恢復

科力銳數據備份與恢復系統(tǒng)可為客戶提供全場景的整機保護、真CDP級的持續(xù)數據保護、極簡驗證演練、分鐘級的快速恢復重建以及秒級的應急接管容災能力。可在勒索病毒加密之后對數據和業(yè)務進行恢復，做到最后的兜底，讓數據不丟，業(yè)務少停。

科力銳數據備份與恢復系統(tǒng)基于“備份-驗證-演練-容災-恢復”的PDCA循環(huán)災備系統(tǒng)建設理論框架，按照實際業(yè)務需求出發(fā)進行方案設計，提供可視可見的災備體系保障，通過簡單易得、敏捷快速的災備運維管理，確保災備系統(tǒng)可信可靠，為客戶提供更高質量的數據備份和更完善的業(yè)務連續(xù)性管理。

事前防護+事中攔截+事后

應急恢復”三位一體解決方案

構建勒索防護三位一體閉環(huán)體系

面對勒索病毒攻擊，科力銳基于事前對已知勒索病毒以及未知勒索病毒的防護；事中根據勒索病毒亙古不變的加密過程，有針對性的攔截阻斷加密進程；最后再聯合事后的應急恢復體系，實現全方位的數據保護和業(yè)務的快速恢復，構建勒索病毒防護三位一體的閉環(huán)防護體系。

事前防護、事中攔截以及事后應急恢復三層體系相輔相成，相互補充，共同構建三位一體的防護體系，完成勒索防護能力建設的閉環(huán)，做到真正的系統(tǒng)性防護，讓主機帶毒運行拒絕被勒索，讓數據不被竊取拒絕被威脅，讓數據不丟，讓業(yè)務少停！

科力銳，讓數字時代的IT業(yè)務連續(xù)性和數據使用，更可靠、更快速、更簡單！

成功案例

五重防護 | 構建勒索病毒縱深防護體系

業(yè)界矚目|科力銳勒索攔截系統(tǒng)發(fā)布回顧

南京市中醫(yī)院統(tǒng)一災備體系建設選擇科力銳

醫(yī)院私有云架構統(tǒng)一災備中心建設更佳實踐

企業(yè)多園區(qū)統(tǒng)一災備建設更佳實踐

文章轉自微信公眾賬號：科力銳科技