勒索病毒持续猖獗 知道创宇紧急发布安全解决方案

勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。自2017年5月WannaCry勒索病毒爆发以来，在短时间内大范围传播，给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称， 仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一，WannaCry勒索病毒爆发时仅一天时间，国内有近3W机构被攻击，覆盖至全国各地，其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。

时隔一年，勒索病毒威胁犹存。据相关机构统计，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族，传播量占到上半年勒索病毒传播总量的90%以上。今年七月，针对Windows服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击，病毒会将计算机中的数据库文件进行加密，同时还具备二次传播能力，有可能入侵局域网内的其他机器。专家预测，由于利润丰厚、追踪困难等原因，未来各种勒索软件的攻击将会更为频繁，杀伤力也更大。

针对持续爆发的勒索病毒，知道创宇紧急发布快速解决方案，通过创宇云图+御点+应急服务构建起从事前到事后全周期、全方位的安全防护体系，帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。

在事前，从传播、加密、扩散三条路径对勒索病毒进行监测，并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测，对未知威胁，采用沙箱检测方式，检测涵盖已知未知高级威胁，检测结果以预警方式发布，建立未知威胁预警体系。

当遭遇勒索病毒攻击时，针对其传播的7大途径，终端防控从病毒主动检测查杀以及漏洞利用防御两个层面提供防护解决方案。

1、网络防护：通过拦截下载器自动下载木马程序、拦截恶意推广程序、拦截黑客远程控制本机、拦截盗号木马，从而降低用户在网络层面与病毒的接触面。

2、聊天安全防护：御点能检测QQ、MSN、阿里旺旺等常用聊天软件传输文件的安全性，并检测QQ中对方发来网址的安全性，防止勒索病毒的扩散感染。

3、移动设备防护：御点提供了U盘等移动设备接入电脑自动检测功能，全面拦截和清除在移动设备接入系统可能带来的病毒木马。

4、局域网共享查杀：御点能够对局域网共享文件传输进行检测和查杀，避免勒索病毒通过局域网传播扩散。

5、漏洞利用防御：御点支持漏洞利用防御，尤其对通过文件漏洞（尤其是0day漏洞）的攻击行为进行有效检测与防御。

6、压缩包杀毒：御点支持文件解压缩病毒查杀，支持对zip、rar、7z等多种格式的压缩文件查杀，降低勒索病毒通过伪装成压缩文件传输的可能。

7、漏洞修复：御点支持修复Windows客户端的系统高危漏洞，同时提供功能性更新补丁，防止勒索病毒利用系统高危漏洞攻击。

经历病毒攻击后，终端防御系统已经添加防护勒索病毒策略，更新病毒库，使系统免于受到相似病毒攻击，筑牢整个防御防线，实现端到端的病毒防护体系。

据知道创宇安全专家介绍，该反勒索病毒快速解决方案主要由创宇云图和御点构成。御点由具备全球顶尖攻防及病毒研究能力的腾讯和知道创宇“7+1”联合实验室支持，安全能力屡获国际评测认证，全球七大权威机构病毒查杀能力评测大满贯，100次+最高评级。其独有的腾讯TAV反病毒引擎，基于700亿+海量样本的全体系支撑，后台云计算平台提供病毒DNA解析大数据处理，支持TAV智能打击恶意病毒。

创宇云图通过人工智能、大数据与安全技术的结合进行高效的多维度网络异常行为检测，具备独特的威胁基因图谱检测技术，能够全面识别已知勒索病毒变种以及未知病毒威胁。创宇云图的网络异常检测、网络入侵检测、威胁变种检测、未知威胁检测、主机威胁检测、威胁情报检测和大数据关联分析功能，可追踪勒索病毒感染路径，进行预警，避免病毒感染范围扩大。

创宇云图与御点组合而成的反勒索病毒方案，配置灵活，反应迅速，对于需要防护的系统，可以建立完整的防护体系，对于遭遇攻击的系统，可以快速应急，查杀病毒，然后形成完整的防护体系。

如果不幸已经遭遇勒索病毒攻击，应当马上隔离被感染设备，启动御点反勒索专家策略，或联系安全专家技术支持，定位和提取病毒样本文件，进行专项查杀并制定恢复策略。同时立即组织内网检测，查找所有开放445 等服务端口的终端和服务器，一旦发现电脑中毒，立即断网。并尽快备份电脑中的重要文件和数据资料，要求所有员工按照日常防范的步骤，检查和落实漏洞修复等安全措施。期间严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

面对勒索病毒的威胁，预防永远是最好的办法，知道创宇安全专家对此建议：

1、不要点击来源不明的邮件附件。

2、及时打补丁，修复系统或第三方软件中存在的安全漏洞。

3、尽量关闭不必要的端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的ip连接登陆。

4、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

5、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

6、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

7、对重要文件和数据（数据库等数据）进行定期非本地备份。

8、在终端/服务器部署专业安全防护软件，服务器可考虑部署在具备专业安全防护能力的云服务。

勒索病毒频发，是时候快速建立你的病毒防御体系了。

 

0