01086486984
新聞資訊news
聯系我(wǒ)們Contact us
全國咨詢熱線01086486984

北京快有家网络技术有限公司

公司地址:北(běi)京市通州區北(běi)苑155号院8棟3号

聯系電話:01086486984

公司郵箱:424381867@qq.com

您的位置:首頁>>新聞資訊>>行業動态
行業動态

.locked勒索病毒來勢洶洶,科力銳提供“防護-攔截-災備”體系化建設方案

作者: 發布時間:2022-09-02 11:39:26點擊:1343

信息摘要:

從8月28日開始,多個社交媒體以及安全技術社區均有用戶稱遭遇“.locked”後綴勒索病毒攻擊,計算機文件被病毒加密,用戶“中(zhōng)招”後,需支付0.2比特币“贖金”(約2.7萬人民币)。截止當前,已經确認來自該勒索病毒的攻擊案例超2000餘例,且該數量仍在不斷上漲,造成諸多企業的恐慌。

  面對勒索病毒大(dà)爆發,傳統單一(yī)防護措施已經失效,客戶亟需“防護-攔截-災備”體系化防護措施。

.locked勒索病毒來勢洶洶 科力銳提供“防護-攔截-災備”體系化建設方案

勒索病毒來勢洶洶

從8月28日開始,多個社交媒體以及安全技術社區均有用戶稱遭遇“.locked”後綴勒索病毒攻擊,計算機文件被病毒加密,用戶“中(zhōng)招”後,需支付0.2比特币“贖金”(約2.7萬人民币)。截止當前,已經确認來自該勒索病毒的攻擊案例超2000餘例,且該數量仍在不斷上漲,造成諸多企業的恐慌。

  面對勒索病毒大(dà)爆發,傳統單一(yī)防護措施已經失效,客戶亟需“防護-攔截-災備”體系化防護措施。

什麽是._locked勒索病毒?

1662087509607250.png

 如上圖所示,開機會出現一(yī)個網頁形式的勒索信encrypted,勒索信上有ID信息,還有黑客的郵箱信息,勒索信告訴你你的數據被加密了,你需要支付相應的贖金來拿回你的數據。

 其次當你進入到了桌面後會發現所有的文件圖标被篡改了,并且無法正常打開,再仔細看看文件屬性,你會發現後綴名多了一(yī)段._locked,并且每個文件夾下(xià)還有一(yī)個how_to_decrypt的html文件,下(xià)圖爲中(zhōng)毒後文件夾的情況:

1662087532346209.jpg

 如何有效防範勒索病毒?

1662087545455302.png

● 在勒索事件頻發、勒索病毒攻擊常态化趨勢下(xià),勒索病毒已然成爲當前最熱門安全話題之一(yī),一(yī)旦遭遇勒索攻擊,将導緻數據丢失、業務停擺、經濟損失、政府公信力受損、企業聲譽降低,對組織機構造成無法估量的損失。

● 但由于勒索病毒變異率高,使得基于病毒特征庫的方式無法查殺新型變異病毒,并且一(yī)旦繞過網絡安全防護開始進行加密操作,用戶沒有任何有效阻斷措施,隻能束手無策。同時,現有的災備體系無論從備份的顆粒度以及災備恢複的時效性,都很難保證數據不丢、業務少停,所以傳統的單一(yī)解決方案很難進行有效防護。

● 在基于對大(dà)量勒索病毒攻擊事件的樣本分(fēn)析之後,科力銳發現勒索變種一(yī)直在變的是攻擊形式,勒索病毒永恒不變的是數據讀取加密方式,爲此結合勒索病毒攻擊流程中(zhōng)的前期網絡攻擊、中(zhōng)期讀取加密以及後期勒索階段,科力銳推出“事前防護+事中(zhōng)攔截+事後應急恢複”三位一(yī)體的勒索病毒專項體系化解決方案,爲客戶數據安全構築起多維度、立體化的安全防線。

事前防護

事前已知(zhī)/未知(zhī)勒索病毒防護

科力銳勒索攔截系統提供對已知(zhī)勒索病毒以及未知(zhī)勒索病毒的防護:

已知(zhī)勒索病毒防護:

1662087560376301.png

我(wǒ)司基于對大(dà)量已知(zhī)勒索病毒的行爲分(fēn)析,形成了獨有的已知(zhī)勒索行爲DNA指紋庫,針對文件系統層、操作系統層、磁盤讀寫層,全方位動态追蹤檢測。将這三個層次的行爲與我(wǒ)司的已知(zhī)勒索行爲DNA指紋庫做比對,去(qù)動态追蹤檢測非法的進程/行爲/離散性/調用棧等。确保對于已知(zhī)勒索病毒的有效防範。同時,我(wǒ)司在雲端也創建了勒索情報中(zhōng)心,負責收集最新的勒索情況,分(fēn)析最新的勒索病毒行爲特征,定期賦能更新到集中(zhōng)管控平台。

未知(zhī)勒索病毒防護:

由于每台主機,每台應用,都會有自己的行爲特征,比如微信、QQ都會有自己的進程、指令集、API接口、IO調用棧、文件信息熵等等。我(wǒ)司設計通過AI智能學習引擎,去(qù)學習每台主機的硬件特征、指令特征、進程特征、讀寫特征以及文件離散性特征等。然後對每台主機進行行爲建模分(fēn)析,生(shēng)成的合法行爲DNA指紋庫,所有偏離合法行爲的進程/行爲/調用棧/信息熵等,都會去(qù)深度檢測,觸發報警機制,确保對未知(zhī)勒索病毒的防護。

事中(zhōng)攔截 事中(zhōng)勒索加密攔截阻斷

科力銳勒索攔截系統提供事中(zhōng)勒索加密攔截阻斷,一(yī)旦勒索病毒開始數據讀取加密,勒索攔截系統可針對性的阻塞勒索病毒加密進程,讓主機帶毒運行拒絕被勒索:

1662087575115353.png

通過在高危區域、數據讀取的“個位子”等智能部署誘餌文件,基于科力銳多年來在文件系統、文件磁盤數據塊等讀寫規律的洞察和研發積累,利用獨創的技術,确保勒索病毒攻擊/加密時一(yī)定優先加密誘餌文件。爲了防止勒索誘餌被跳過以及減少主機資源的占用,讓勒索誘餌輕量有效,引入稀疏矩陣算法,讓誘餌更真實,降低了計算訪存比,占用的資源也更少。

1662087589542410.png

在确保勒索病毒個進攻的是誘餌文件後,通過讓勒索病毒從指定誘餌文件開始,按照一(yī)定的規則循環遍曆圖結構中(zhōng)的所有聯通點,讓勒索病毒無法返回完成對誘餌文件的完成值,從而阻塞勒索病毒加密的進程。爲了防止誘餌很快被加密完成,引入圖遍曆算法自動生(shēng)成誘餌森(sēn)林,并且根據勒索病毒的進程自動匹配誘餌數量,确保堵塞勒索病毒所有加密進程;同時,引入深度優先搜索算法,讓勒索病毒循環遍曆,确保讓勒索病毒一(yī)直在加密的路上,一(yī)直無法返回。

事後應急恢複

事後應急恢複

科力銳數據備份與恢複系統可爲客戶提供全場景的整機保護、真CDP級的持續數據保護、極簡驗證演練、分(fēn)鍾級的快速恢複重建以及秒級的應急接管容災能力。可在勒索病毒加密之後對數據和業務進行恢複,做到最後的兜底,讓數據不丢,業務少停。

1662087603865701.png

科力銳數據備份與恢複系統基于“備份-驗證-演練-容災-恢複”的PDCA循環災備系統建設理論框架,按照實際業務需求出發進行方案設計,提供可視可見的災備體系保障,通過簡單易得、敏捷快速的災備運維管理,确保災備系統可信可靠,爲客戶提供更高質量的數據備份和更完善的業務連續性管理。

1662087615514909.png

事前防護+事中(zhōng)攔截+事後

應急恢複”三位一(yī)體解決方案

構建勒索防護三位一(yī)體閉環體系

面對勒索病毒攻擊,科力銳基于事前對已知(zhī)勒索病毒以及未知(zhī)勒索病毒的防護;事中(zhōng)根據勒索病毒亘古不變的加密過程,有針對性的攔截阻斷加密進程;最後再聯合事後的應急恢複體系,實現全方位的數據保護和業務的快速恢複,構建勒索病毒防護三位一(yī)體的閉環防護體系。

1662087627800141.png

事前防護、事中(zhōng)攔截以及事後應急恢複三層體系相輔相成,相互補充,共同構建三位一(yī)體的防護體系,完成勒索防護能力建設的閉環,做到真正的系統性防護,讓主機帶毒運行拒絕被勒索,讓數據不被竊取拒絕被威脅,讓數據不丢,讓業務少停!

科力銳,讓數字時代的IT業務連續性和數據使用,更可靠、更快速、更簡單!

成功案例

五重防護 | 構建勒索病毒縱深防護體系

業界矚目|科力銳勒索攔截系統發布回顧

南(nán)京市中(zhōng)醫院統一(yī)災備體系建設選擇科力銳

醫院私有雲架構統一(yī)災備中(zhōng)心建設更佳實踐

企業多園區統一(yī)災備建設更佳實踐

文章轉自微信公衆賬号:科力銳科技

在線客服
聯系方式

熱線電話

01086486984

上班時間

周一(yī)到周五

公司電話

01086486984

二維碼