.locked勒索病毒来势汹汹该怎么办?

admin 安全

一、勒索病毒来势汹汹

从8月28日开始,多个社交媒体以及安全技术社区均有用户称遭遇“.locked”后缀勒索病毒攻击,计算机文件被病毒加密,用户“中招”后,需支付0.2比特币“赎金”(约2.7万人民币)。截止当前,已经确认来自该勒索病毒的攻击案例超2000余例,且该数量仍在不断上涨,造成诸多企业的恐慌。

面对勒索病毒大爆发,传统单一防护措施已经失效,客户亟需“防护-拦截-灾备”体系化防护措施

二、什么是._locked勒索病毒?

       如上图所示,开机会出现一个网页形式的勒索信encrypted,勒索信上有ID信息,还有黑客的邮箱信息,勒索信告诉你你的数据被加密了,你需要支付相应的赎金来拿回你的数据。

       其次当你进入到了桌面后会发现所有的文件图标被篡改了,并且无法正常打开,再仔细看看文件属性,你会发现后缀名多了一段._locked,并且每个文件夹下还有一个how_to_decrypt的html文件,下图为中毒后文件夹的情况:

三、如何有效防范勒索病毒?

 

● 在勒索事件频发、勒索病毒攻击常态化趋势下,勒索病毒已然成为当前最热门安全话题之一,一旦遭遇勒索攻击,将导致数据丢失、业务停摆、经济损失、政府公信力受损、企业声誉降低,对组织机构造成无法估量的损失。

● 但由于勒索病毒变异率高,使得基于病毒特征库的方式无法查杀新型变异病毒,并且一旦绕过网络安全防护开始进行加密操作,用户没有任何有效阻断措施,只能束手无策。同时,现有的灾备体系无论从备份的颗粒度以及灾备恢复的时效性,都很难保证数据不丢、业务少停,所以传统的单一解决方案很难进行有效防护

● 在基于对大量勒索病毒攻击事件的样本分析之后,科力锐发现勒索变种一直在变的是攻击形式,勒索病毒永恒不变的是数据读取加密方式,为此结合勒索病毒攻击流程中的前期网络攻击、中期读取加密以及后期勒索阶段,科力锐推出“事前防护+事中拦截+事后应急恢复”三位一体的勒索病毒专项体系化解决方案,为客户数据安全构筑起多维度、立体化的安全防线。

四、事前防护

  • 事前已知/未知勒索病毒防护

       科力锐勒索拦截系统提供对已知勒索病毒以及未知勒索病毒的防护:

已知勒索病毒防护:

       我司基于对大量已知勒索病毒的行为分析,形成了独有的已知勒索行为DNA指纹库,针对文件系统层、操作系统层、磁盘读写层,全方位动态追踪检测。将这三个层次的行为与我司独家的已知勒索行为DNA指纹库做比对,去动态追踪检测非法的进程/行为/离散性/调用栈等。确保对于已知勒索病毒的有效防范。同时,我司在云端也创建了勒索情报中心,负责收集最新的勒索情况,分析最新的勒索病毒行为特征,定期赋能更新到集中管控平台。

未知勒索病毒防护:

       由于每台主机,每台应用,都会有自己唯一的行为特征,比如微信、QQ都会有自己的进程、指令集、API接口、IO调用栈、文件信息熵等等。我司设计通过AI智能学习引擎,去学习每台主机的硬件特征、指令特征、进程特征、读写特征以及文件离散性特征等。然后对每台主机进行行为建模分析,生成唯一的合法行为DNA指纹库,所有偏离合法行为的进程/行为/调用栈/信息熵等,都会去深度检测,触发报警机制,确保对未知勒索病毒的防护。

五、事中拦截

  • 事中勒索加密拦截阻断

       科力锐勒索拦截系统提供事中勒索加密拦截阻断,一旦勒索病毒开始数据读取加密,勒索拦截系统可针对性的阻塞勒索病毒加密进程,让主机带毒运行拒绝被勒索

 

       通过在高危区域、数据读取的“第一个位子”等智能部署诱饵文件,基于科力锐多年来在文件系统、文件磁盘数据块等读写规律的洞察和研发积累,利用独创的专利技术,确保勒索病毒攻击/加密时一定优先加密诱饵文件。为了防止勒索诱饵被跳过以及减少主机资源的占用,让勒索诱饵轻量有效,引入稀疏矩阵算法,让诱饵更真实,降低了计算访存比,占用的资源也更少。 

 

       在确保勒索病毒第一个进攻的是诱饵文件后,通过让勒索病毒从指定诱饵文件开始,按照一定的规则循环遍历图结构中的所有联通点,让勒索病毒无法返回完成对诱饵文件的完成值,从而阻塞勒索病毒加密的进程。为了防止诱饵很快被加密完成,引入图遍历算法自动生成诱饵森林,并且根据勒索病毒的进程自动匹配诱饵数量,确保堵塞勒索病毒所有加密进程;同时,引入深度优先搜索算法,让勒索病毒循环遍历,确保让勒索病毒一直在加密的路上,一直无法返回。

六、事后应急恢复

       科力锐数据备份与恢复系统可为客户提供全场景的整机保护、真CDP级的持续数据保护、极简验证演练、分钟级的快速恢复重建以及秒级的应急接管容灾能力。可在勒索病毒加密之后对数据和业务进行恢复,做到最后的兜底,让数据不丢,业务少停。

 

       科力锐数据备份与恢复系统基于“备份-验证-演练-容灾-恢复”的PDCA循环灾备系统建设理论框架,按照实际业务需求出发进行方案设计,提供可视可见的灾备体系保障,通过简单易得、敏捷快速的灾备运维管理,确保灾备系统可信可靠,为客户提供更高质量的数据备份和更完善的业务连续性管理。

 

七、“事前防护+事中拦截+事后应急恢复”三位一体解决方案

  • 构建勒索防护三位一体闭环体系

       面对勒索病毒攻击,科力锐基于事前对已知勒索病毒以及未知勒索病毒的防护;事中根据勒索病毒亘古不变的加密过程,有针对性的拦截阻断加密进程;最后再联合事后的应急恢复体系,实现全方位的数据保护和业务的快速恢复,构建勒索病毒防护三位一体的闭环防护体系。

 

八、 勒索防护能力建设的闭环

       事前防护、事中拦截以及事后应急恢复三层体系相辅相成,相互补充,共同构建三位一体的防护体系,完成勒索防护能力建设的闭环,做到真正的系统性防护,让主机带毒运行拒绝被勒索,让数据不被窃取拒绝被威胁,让数据不丢,让业务少停!

       科力锐,让数字时代的IT业务连续性和数据使用,更可靠、更快速、更简单!

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码
< <上一篇
下一篇>>