防勒索解决方案

名目1勒索病毒概述1勒索病毒简介1勒索病毒日益猖獗1勒索病毒趋势分析•22国内防勒索病毒防护现状3攻击原理分析3技术生态分析4主机系统平安防范技术4网络平安防范技术5数据恢复与备份技术6分析总结73解决方案设计7总体设计7解决方案8客户价值9优势分析1。4配置清单10通过计算机运行掌握技术，对信息系统数据库、文件服务器上的数据及用户终端数据进行勒索病毒免疫防护，构筑数据保险柜，让勒索病毒无法加密、破坏数据，供应数据免疫功能；掩盖文件类型包括：数据库服务器、文件服务器、其他重要服务器系统及终端上的照片、图片、文档、压缩包、音频、视频文件、可执行程序等文件；支持windows、linux、分布式文件等系统。2、主机勒索病毒管控：系统可以识别、告警、阻断勒索病毒，如Wannacry、坏兔子、NotPetya、Mindlost等。通过预置策略，防止被感染主机向本机传播勒索病毒，禁止勒索病毒启动，使病毒无法入侵；基于数据免疫功能，觉察疑似勒索病毒进程，通过AI智能行为画像技术，有效识别和管控未知勒索病毒，最终实现全网统一布控，让勒索病毒无处可逃。3、防病毒内网集中：通过由硬件设施和软件协作联动，基于基础平台平安策略和计算机运行掌握技术，实现服务器之间、服务器和终端之间、以及终端之间的网络访问掌握，针对勒索病毒的网络传播集中攻击进行阻断。4、实时监控提前预警：通过对全网攻击日志采集，基于全网勒索病毒相关统计数据分析，如病毒攻击统计、疑似攻击统计、被攻击服务器及客户端列表等信息，实时可视化展现，便于管理员准时快速觉察问题，便利定位解决问题；定期发布防勒索报表,便于企业主管准时了解网络状态；通过AI智能画像技术，在勒索病毒爆发前，病毒攻击处于“萌芽”状态时，提前预警，杜绝业务损失。客户价值防勒索解决方案，为客户供应的业务价值：1、【终身免疫】基于操作系统内核级平安管控技术，有效防止勒索病毒对数据的非法加密、非法删除，杜绝业务损失。2、【无惧O-day攻击】基于AI行为画像技术，而非“特征库”,有效应对和未知勒索病毒，无惧0-day攻击。。3、【三层防范】构建网络、数据、主机三层防范体系，全网设施智能联动；构建

服务器、PC端全网防范体系，更高级别更全面的平安防护。4、【实时预警】勒索病毒刚开头“露头”，实时预警，指导快速处理，避开业务损失。5、【透亮防护】不转变客户使用习惯。优势分析业内主流防勒索方案优势分析:解决方案产品防护手段防护效果传统防勒索方案交换机/沙箱/FW/IPS/UTM等网络层关闭文件共享服务；防火墙可过滤传播病毒；沙箱由专业平安技术人员协作可觉察未知病毒。网络层隔离技术，属于事后防护，依靠于手工配置，防火墙等依靠病毒库更新，无法实时应对病毒变种。杀毒软件/终端管控软件通过升级病毒库或云查杀方式，对病毒进行查杀。对成熟病毒效果显著，依靠于病毒库更新的速度，对病毒变种反响较慢。防勒索方案防勒索方案基于计算机运行掌握及数据免疫技术，融合AI智能行为画像技术，识别和阻断勒索病毒。供应网络、数据、主机二层防护，无需升级即可应对病毒变种，供应防勒索终身免疫功能。表：防勒索方案优势分析结论：传统防勒索解决方案，以网络攻防为核心进行防护，重点在网络层过滤和终端层病毒查杀；防勒索解决方案，以数据为核心的防护，避开勒索病毒对数据进行非法加密、损毁，供应数据全流程防护，可与传统技术相互融合，优势互补，实现勒索病毒。4配置清单典型配置清单，参考如下：产品名称组件名称部署说明组件数量

产品名称组件名称部署说明组件数量防勒索解决方案防勒索基础平台部署于服务器前端，支持主路部署及策略路由方式旁路部署；典型场景部署1台，双机备份需要部署2台；依据网络状况调整平台数量；X个防勒索预警平台整个系统部署一套；（如需短信、邮件等外购件需单独下单）X个服务器防勒索软件每个操作系统部署一套服务器防勒索软件X个PC防勒索软件每台PC部署一套PC防勒索软件X个4G远程维护整个系统部署一套，与防勒索基础平台协作使用X个1勒索病毒概述勒索病毒简介勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马等形式进行传播，采用各种加密算法对文件进行加密，被感染者一般无法解密，必需拿到解密的私钥才有可能破解。该类型病毒可以导致重要文件无法读取，关键数据被损坏，黑客以解密数据为条件勒索用户钱财，给用户的正常工作带来了极为严峻的影响。2022年开头勒索病毒呈现爆发式增长趋势，影响最大的是WannaCry勒索病毒大事。5月12日晚，勒索病毒Wannaly（中文名称魔窟）爆发席卷全球，在短短一个月的时间内就席卷全球150多个我国，造成损失高达80亿美元，领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业，如下列图所示勒索病毒导致业务中断。图：WannaCiy病毒爆发导致业务系统瘫痪大事回顾如下：2022年3月，微软发布了月度平安补丁，其中包括了后续被WannyCiy蠕虫采用的MS17-010漏洞。2022年4月14日黑客组织ShadowBrokers（影子经纪人）公布的EquationGroup（方程式组织）使用的“网络军火”中包含了该漏洞的采用程序。2022年5月12日全球爆发大规模勒索软件感染大事，采用了基于445端口传播集中的SMB漏洞MS17-010,我们我国大量用户被感染。勒索病毒日益猖獗依据2022年CrowdStrike全球威逼报告显示:通过分析176个我国每天1000亿件大事的综合威逼数据觉察，勒索和数据武器化已成为网络犯罪分子的主流,严峻影响了政府、医疗以及其他行业。2022年5月12日，WannaCry病毒全球大规模爆发，到现在有将近一年的时间了，目前仍有许多客户系统感染WannaCiy病毒及变种。2022年6月27日,欧洲、北美地区多个我国遭到“Petya”勒索病毒攻击,乌克兰受害严峻，其政府部门、国有企业相继“中招”。这次的Petya病毒就像是WannaCry的升级版，与WannaCry相比，该病毒会加密NTFS分区和磁盘主引导纪录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。图：Petya病毒全球爆发2022年10月24日，俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招，德国、土耳其等国随后也觉察此病毒。2022年2月，多家互联网平安企业截获了MindLost勒索病毒。MindLost不再要求“中招”用户使用比特币等数字货币支付赎金，而是要求受害者使用信用卡或借记卡支付赎金，以此来套取银行卡信息，进而将此信息出售给不法分子牟取更大利益。2022年2月，讨论觉察一款勒索达世币(DASH)的勒索软件GandCrab,这是首个勒索比特币以外的虚拟货币的勒索软件。加密文件会以.GDCB为新的扩展名，加密完成后，样本调用默认扫瞄器弹出勒索信息页面，勒索1.5个达世币,价值约1200美元，在限定日期内没有交付相应的达世币，赎金会翻倍。近段时间通过网页挂马在国内大肆集中，被黑页面涉及景区、交通等社会服务网点，影响极广。勒索病毒趋势分析勒索病毒进展趋势分析如下：•勒索病毒技术不断演进：目前最新觉察的GandCrab勒索软件，采纳了新兴的虚拟货币，同时在技术上使用了大量动态解密方式，并且假设网络不连通那么不会进入加密阶段，也无法看到加密的扩展名与流程，从中我们可以看出，勒索病毒技术不断进展与演进，病毒的防护也需要与时俱进。・从个人电脑转型企业服务器：自从WannaCry爆发以后，勒索病毒的攻击重心已渐渐由个人电脑用户转向企业服务器，尤其是以弱口令爆破远程登录服务器再植入勒索病毒的攻击方式最为常见。今年2月23日，湖北襄阳南漳县人民医院系统被植入Globelmposter勒索病毒后瘫痪，黑客要求支付比特币才能恢复正常。2月24日，湖南省儿童医院全院全部医疗系统均无法正常使用。经查实，该院多台服务器感染Globelmposter勒索病毒，数据库文件被病毒加密破坏，医院内部系统已瘫痪，同时数据库文件被加密破坏，正常就医秩序受到严峻影响。由于Globelmposter家族使用了RSA2048算法加密，解密极其困难，据了解目前该勒索软件暂无解密工具。图：医疗信息系统疑中勒索病毒业务瘫痪2国内防勒索病毒防护现状攻击原理分析勒索病毒本质是对数字资产的攻击，包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件，一旦勒索病毒攻击胜利，用户重要文件将无法读取,关键数据被损毁，业务瘫痪。勒索病毒通常有如下感染方式：邮件传播：攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件，一旦收件人翻开邮件附件或者点击邮件中的链接地址，勒索软件会以用户看不见的形式在后台静默安装，实施勒索；漏洞传播：当用户正常访问网站时，攻击者采用页面上的恶意广告验证用户的扫瞄器是否有可采用的漏洞。假如存在，那么采用漏洞将勒索软件下载到用户的主机；捆绑传播：与其他恶意软件捆绑传播；僵尸网络传播：一方面僵尸网络可以发送大量的垃圾邮件，另一方面僵尸网络为勒索软件即服务(RaaS)的进展起到了支撑作用；可移动存储介质、本地和远程的驱动器(如C盘和挂载的磁盘)传播：恶意软件会自我复制到全部本地驱动器的根名目中，并成为具有隐蔽属性和系统属性的可执行文件；文件共享网站传播：勒索软件存储在一些小众的文件共享网站，等待用户点击链接下载文件；网页挂马传播：当用户不留神访问恶意网站时，勒索软件会被扫瞄器自动下载并在后台运行；社交网络传播:勒索软件以社交网络中的.JPG图片或者其他恶意文件载体传播。从病毒攻击原理分析，典型勒索软件包括以下几局部：蠕虫病毒传播模块，查找漏洞目标传播和释放病毒。蠕虫病毒是一种常见的计算机病毒，通过网络和电子邮件等方式进行传播,具有自我复制和传播快速等特点。WannaCry病毒制造者正是采用了美国我国平安局(NSA)泄漏的WindowsSMB远程漏洞采用工具“永恒之蓝”来进行传播的。勒索病毒加密模块，对数据进行非法加密。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。除了病毒开发者本人，其他人是几乎不行能解密，且变种类型特别快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf,vbe等类型为主，对常规依靠特征检测的平安产品是一个极大的挑战。其他模块，更改桌面，索取赎金。技术生态分析从技术维度分析，目前国内平安技术生态有三类防护方式：主机系统平安防范技术主机系统平安防范技术主要有：终端杀毒软件、终端管控软件、操作系统补丁升级三种典型防护方式。•终端杀毒软件：使用基于特征码的杀毒软件，是目前应用最广发的终端防护方式之一，这种方式存在两个约束条件：(1)、从病毒爆发到厂商勒索病毒特征码学习，需要肯定时间。(2)、传统防病毒软件本地特征库加载量缺乏的问题。安装杀毒软件的主机处理速度严峻下降，所以受本地资源的限制，业界通常本地加载的病毒特征库低于总库l%o所以，许多杀毒软件实行云查杀的方式，弥补这两种缺乏。图：某杀毒软件扫描结果终端平安管控软件：终端平安管理软件可以关闭系统漏洞、端口，这种管控方式针对病毒和服务有很好的拦截作用，但许多终端平安工具对未知漏洞采用程序和恶意软件的封堵力量缺乏，依靠于特征库持续更新。图：终端管控软件操作系统补丁升级：操作系统补丁升级是特别重要的防护手段，但受限于操作系统版本、升级对业务影响及升级操作简单度等因素影响，升级率和准时率较低。知名杀毒软件卡巴斯基试验室日前表示，下载安装最新的系统补丁，启用最新的防护软件，可阻挡病毒入侵。新型“蠕虫式”勒索软件WannaCry通过MS17-010漏洞(lday/Nday)传播，而微软在17年3月发布了该漏洞的补丁，但仍有大量用户未安装补丁，导致医院、企业、机构以及个人的大量计算机在这次网络攻击中被感染。网络平安防范技术网络平安防范体系包括：网络出口病毒过滤、核心网络层平安防护、交换机关闭端口等方式。网络出口病毒过滤：从下列图所示，这是一个典型的局域网网络拓扑，一般在网络出口处会部署防火墙或IPS等边界平安设施，对勒索病毒进行过滤，这种方式对病毒有较好效果，可以抵挡病毒于网络之外；但防范效果主要依靠于厂商病毒库的发布和更新，由于病毒库主要是基于特征的，在病毒未规模爆发之前，很难生成病毒库。此外,大量的攻击来自于内网和主机存储介质，这种防护方式无法防范这些攻击。图：典型局域网网络结构核心网络层防护技术，如防火墙/IPS/沙箱/蜜罐等:大局部客户在网络出口部署平安设施，而在内网很少部署平安产品；对于跨核心交换机的勒索病毒攻击，一些网络可能会在核心层部署防火墙、IDS、堡垒机、沙箱等设施；防火墙和IDS主要依靠于特征库的发布与更新；堡垒机主要功能是监控，不能防范；沙箱和蜜罐等可以觉察未知病毒，但需要专业人员投入。・交换机关闭服务端口:病毒在终端运行之后，就会内网中大量集中，可能会在接入交换机内部或者跨交换机之间进行集中；对于在接入交换机内部攻击，现实网络中几乎是不行能部署平安产品的，所以，防护措施只能是在交换机手工封病毒端口；当勒索病毒爆发时，许多客户实行全网交换机封端口的操作，防止病毒集中。这种方式依靠于人工操作，费时费力、且只能事后处理。数据恢复与备份技术卡巴斯基宣称，勒索病毒使用的加密算法目前无解，不要使用网站流传的工具程序去解密，下载来路不明的工具程序可能会有其它危害，甚至加速病毒传播。当患病到勒索病毒攻击，数据被非法加密后，业内大多采纳数据恢复技术进行恢复，主流数据恢复技术有：・在线恢复技术：讨论觉察，对于感染了勒索软件WannaCry的操作系统，在没有重新启动的前提下，勒索软件的加密私钥仍可以在内存猎取，从而实现解密文件。但这种恢复技术的前提条件是：对于已感染WannaCry勒索软件的操作系统不能重启，假如系统已重启或关机，可能将无法恢复文件数据。・磁盘数据恢复技术：当删除一个文件时，为了提高执行效率并削减磁盘损耗，操作系统只是在文件安排表中标记该位置被释放，但并没有对磁盘上对应区域的数据重写，这就是为什么数据恢复软件可以找到已经删除的文件并且恢复出来。从上述原理分析，这种技术也存在概率：按WannaCry勒索蠕虫的执行规律，加密后生成的文件不会掩盖掉原文件本身，但是下一个或第N个被加密的文件,有可能会掩盖之前已经被删除的其他原文件，造成该文件局部损坏或完全不行恢复。图：某数据恢复工具此外，一些厂商推出数据备份方案，一但主系统患病攻击，保障备份业务系统可以马上启用。备份系统造价较高，需要做好备份系统与主系统的平安隔离工作，辟免主系统和备份系统同时被感染、被攻击。2.3分析总结综上所述，目前主流的网络平安技术体系在某一方面发挥着重要作用，同时也存在其技术局限性，总结如下：（1）面对网络攻击对抗的防护体系：主要防止病毒“攻进来”，攻击一旦突破边界，防范体系那么无能为力。（2）基于特征码“补丁”升级的防护体系：目前病毒库大多基于“先验”，先消失病毒大事，防守方需要分析病毒特征，提炼出特征库，升级设施和软件的特征库，这种打“补丁”的技术体系打算了从攻击到防守存在时间差，“补丁”永久滞后病毒变种。（3）事后数据恢复技术：当数据被非法加密后，数据恢复技术是仅有的一种处理方式，不能事前防范；数据恢复效果取决于终端是否掉电、磁盘数据是否被掩盖等条件。总结：网络平安防范体系主要解决“进不来”的问题，而对病毒进来之后,病毒对数据“防破坏”的关注较少。所以，针对勒索病毒及快速变种，现有网络平安技术体系需要与数据平安技术优势互补，才能更有效的解决勒索病毒问题。3解决方案设计总体设计方案设计需要考虑如下问题：勒索病毒本身是对数据的非法损毁，属于数据平安范畴，单一的网络平安技术无法彻底解决问题。勒索病毒包