.locked勒索病毒來勢洶洶，科力銳提供“防護-攔截-災備”體系化(huà)建設方案

.locked勒索病毒來勢洶洶 科力銳提供“防護-攔截-災備”體系化(huà)建設方案

勒索病毒來勢洶洶

從8月(yuè)28日開始，多(duō)個社交媒體以及安全技術社區均有用(yòng)戶稱遭遇“.locked”後綴勒索病毒攻擊，計算(suàn)機文件被病毒加密，用(yòng)戶“中招”後，需支付0.2比特币“贖金”(約2.7萬人(rén)民币)。截止當前，已經确認來自該勒索病毒的(de)攻擊案例超2000餘例，且該數量仍在不斷上漲，造成諸多(duō)企業的(de)恐慌。

  面對勒索病毒大(dà)爆發，傳統單一防護措施已經失效，客戶亟需“防護-攔截-災備”體系化(huà)防護措施。

什(shén)麽是._locked勒索病毒？

 如上圖所示，開機會出現一個網頁形式的(de)勒索信encrypted，勒索信上有ID信息，還有黑(hēi)客的(de)郵箱信息，勒索信告訴你你的(de)數據被加密了(le)，你需要支付相應的(de)贖金來拿回你的(de)數據。

 其次當你進入到了(le)桌面後會發現所有的(de)文件圖标被篡改了(le)，并且無法正常打開，再仔細看看文件屬性，你會發現後綴名多(duō)了(le)一段._locked，并且每個文件夾下(xià)還有一個how_to_decrypt的(de)html文件，下(xià)圖爲中毒後文件夾的(de)情況：

 如何有效防範勒索病毒？

● 在勒索事件頻發、勒索病毒攻擊常态化(huà)趨勢下(xià)，勒索病毒已然成爲當前最熱門安全話題之一，一旦遭遇勒索攻擊，将導緻數據丢失、業務停擺、經濟損失、政府公信力受損、企業聲譽降低，對組織機構造成無法估量的(de)損失。

● 但由于勒索病毒變異率高(gāo)，使得(de)基于病毒特征庫的(de)方式無法查殺新型變異病毒，并且一旦繞過網絡安全防護開始進行加密操作，用(yòng)戶沒有任何有效阻斷措施，隻能束手無策。同時，現有的(de)災備體系無論從備份的(de)顆粒度以及災備恢複的(de)時效性，都很難保證數據不丢、業務少停，所以傳統的(de)單一解決方案很難進行有效防護。

● 在基于對大(dà)量勒索病毒攻擊事件的(de)樣本分(fēn)析之後，科力銳發現勒索變種一直在變的(de)是攻擊形式，勒索病毒永恒不變的(de)是數據讀取加密方式，爲此結合勒索病毒攻擊流程中的(de)前期網絡攻擊、中期讀取加密以及後期勒索階段，科力銳推出“事前防護+事中攔截+事後應急恢複”三位一體的(de)勒索病毒專項體系化(huà)解決方案，爲客戶數據安全構築起多(duō)維度、立體化(huà)的(de)安全防線。

事前防護

事前已知/未知勒索病毒防護

科力銳勒索攔截系統提供對已知勒索病毒以及未知勒索病毒的(de)防護：

已知勒索病毒防護：

我司基于對大(dà)量已知勒索病毒的(de)行爲分(fēn)析，形成了(le)獨有的(de)已知勒索行爲DNA指紋庫，針對文件系統層、操作系統層、磁盤讀寫層，全方位動态追蹤檢測。将這三個層次的(de)行爲與我司的(de)已知勒索行爲DNA指紋庫做(zuò)比對，去動态追蹤檢測非法的(de)進程/行爲/離散性/調用(yòng)棧等。确保對于已知勒索病毒的(de)有效防範。同時，我司在雲端也(yě)創建了(le)勒索情報中心，負責收集最新的(de)勒索情況，分(fēn)析最新的(de)勒索病毒行爲特征，定期賦能更新到集中管控平台。

未知勒索病毒防護：

由于每台主機，每台應用(yòng)，都會有自己的(de)行爲特征，比如微信、QQ都會有自己的(de)進程、指令集、API接口、IO調用(yòng)棧、文件信息熵等等。我司設計通(tōng)過AI智能學習引擎，去學習每台主機的(de)硬件特征、指令特征、進程特征、讀寫特征以及文件離散性特征等。然後對每台主機進行行爲建模分(fēn)析，生成的(de)合法行爲DNA指紋庫，所有偏離合法行爲的(de)進程/行爲/調用(yòng)棧/信息熵等，都會去深度檢測，觸發報警機制，确保對未知勒索病毒的(de)防護。

事中攔截 事中勒索加密攔截阻斷

科力銳勒索攔截系統提供事中勒索加密攔截阻斷，一旦勒索病毒開始數據讀取加密，勒索攔截系統可(kě)針對性的(de)阻塞勒索病毒加密進程，讓主機帶毒運行拒絕被勒索：

通(tōng)過在高(gāo)危區域、數據讀取的(de)“個位子”等智能部署誘餌文件，基于科力銳多(duō)年來在文件系統、文件磁盤數據塊等讀寫規律的(de)洞察和(hé)研發積累，利用(yòng)獨創的(de)技術，确保勒索病毒攻擊/加密時一定優先加密誘餌文件。爲了(le)防止勒索誘餌被跳過以及減少主機資源的(de)占用(yòng)，讓勒索誘餌輕量有效，引入稀疏矩陣算(suàn)法，讓誘餌更真實，降低了(le)計算(suàn)訪存比，占用(yòng)的(de)資源也(yě)更少。

在确保勒索病毒個進攻的(de)是誘餌文件後，通(tōng)過讓勒索病毒從指定誘餌文件開始，按照(zhào)一定的(de)規則循環遍曆圖結構中的(de)所有聯通(tōng)點，讓勒索病毒無法返回完成對誘餌文件的(de)完成值，從而阻塞勒索病毒加密的(de)進程。爲了(le)防止誘餌很快(kuài)被加密完成，引入圖遍曆算(suàn)法自動生成誘餌森林(lín)，并且根據勒索病毒的(de)進程自動匹配誘餌數量，确保堵塞勒索病毒所有加密進程；同時，引入深度優先搜索算(suàn)法，讓勒索病毒循環遍曆，确保讓勒索病毒一直在加密的(de)路上，一直無法返回。

事後應急恢複

事後應急恢複

科力銳數據備份與恢複系統可(kě)爲客戶提供全場景的(de)整機保護、真CDP級的(de)持續數據保護、極簡驗證演練、分(fēn)鍾級的(de)快(kuài)速恢複重建以及秒級的(de)應急接管容災能力。可(kě)在勒索病毒加密之後對數據和(hé)業務進行恢複，做(zuò)到最後的(de)兜底，讓數據不丢，業務少停。

科力銳數據備份與恢複系統基于“備份-驗證-演練-容災-恢複”的(de)PDCA循環災備系統建設理(lǐ)論框架，按照(zhào)實際業務需求出發進行方案設計，提供可(kě)視可(kě)見的(de)災備體系保障，通(tōng)過簡單易得(de)、敏捷快(kuài)速的(de)災備運維管理(lǐ)，确保災備系統可(kě)信可(kě)靠，爲客戶提供更高(gāo)質量的(de)數據備份和(hé)更完善的(de)業務連續性管理(lǐ)。

事前防護+事中攔截+事後

應急恢複”三位一體解決方案

構建勒索防護三位一體閉環體系

面對勒索病毒攻擊，科力銳基于事前對已知勒索病毒以及未知勒索病毒的(de)防護；事中根據勒索病毒亘古不變的(de)加密過程，有針對性的(de)攔截阻斷加密進程；最後再聯合事後的(de)應急恢複體系，實現全方位的(de)數據保護和(hé)業務的(de)快(kuài)速恢複，構建勒索病毒防護三位一體的(de)閉環防護體系。

事前防護、事中攔截以及事後應急恢複三層體系相輔相成，相互補充，共同構建三位一體的(de)防護體系，完成勒索防護能力建設的(de)閉環，做(zuò)到真正的(de)系統性防護，讓主機帶毒運行拒絕被勒索，讓數據不被竊取拒絕被威脅，讓數據不丢，讓業務少停！

科力銳，讓數字時代的(de)IT業務連續性和(hé)數據使用(yòng)，更可(kě)靠、更快(kuài)速、更簡單！

成功案例

五重防護 | 構建勒索病毒縱深防護體系

業界矚目|科力銳勒索攔截系統發布回顧

南(nán)京市中醫院統一災備體系建設選擇科力銳

醫院私有雲架構統一災備中心建設更佳實踐

企業多(duō)園區統一災備建設更佳實踐

文章(zhāng)轉自微信公衆賬号：科力銳科技