現在聊起勒索病毒的危害

基本不用做任何鋪墊

大家都知道那玩意兒的厲害

甚至還能跟你叭叭叭，如數家珍

列舉一大堆經典的勒索案例和病毒名

仿佛自己親身經曆過…

可如果說到具體怎麼防勒索

很多人用的武器卻像是

「要你命3000」

怎麼理解呢

勒索病毒是這幾年才流行起來的新事物

可大家防範時，往往還在沿襲老辦法

把各種安全手段全招呼上

從邊界防護開始使勁

防火牆、防毒牆、IDPS、NDR

然後到主機安全、終端殺毒、EDR

最後再拿SOC/态感/XDR整出群防群治的氣氛

……

這不就是活脫脫的“要你命3000”嘛

↓

“要你命3000”的效果怎麼樣呢

盡管這些武器單拎出來都挺能打

可是拼裝起來卻難以形成合力

還額外增加了運維人員的配置負擔

看似層層設防，實則百密一疏

最後的結果，就可想而知了

↓

本質上講，勒索病毒是新威脅

對付這種新威脅，就不能用老辦法

要找到病根，研發出特效藥

一招制敵，唯快不破

那麼

怎樣找到防勒索特效藥呢？

我們先看看勒索病毒的攻擊原理

就目前已知的情況

勒索攻擊主要基于5種途徑

↓

①基于系統漏洞執行遠程代碼；②基于釣魚郵件投遞；③基于移動介質創建快捷方式誘導點擊；④通過軟件分發渠道傳播；⑤通過遠程桌面植入病毒；

而攻擊到目标後

具體搞破壞的方式，主要有4種

①文件加密②系統加密③數據竊取④屏幕鎖定

↓

勒索病毒還有個最重要的特征

一旦中招，除了交贖金外，幾乎無解

這就有點像狂犬病

隻要發了病，緻死率100%

所以，對付勒索攻擊就像對付狂犬病

一定要在中招前防範

中招後就回天乏術了

因此，要研制“特效藥”

就必須深入剖析整個攻擊流程

然後防患于未然

下面我們剖析下勒索攻擊這條“瘋狗”

勒索攻擊全過程一般分三個階段

①感染、準備階段

②遍曆加密階段

③破壞勒索階段

每一步，都有相應的動作特征

↓

防勒索就要針對這三個階段

識别病毒每一步動作，見招拆招

該殺的殺，該擋的擋，該備的備

第一階段，重點在于檢測

第二階段，核心是對文件的防護

到了第三階段，則是利用備份來恢複

有人說，針對這種勒索攻擊

EDR産品不就是特效藥？

EDR對防勒索的确有效果

但EDR更像是“廣譜”藥

要日理萬機，面對各種終端威脅挑戰

但對于勒索攻擊這種窮兇極惡的病毒

迫切需要一種“特效加強針”

能夠對殺傷鍊進行完整覆蓋

讓膽戰心驚的用戶們可以輕松上手

更有效的防範勒索攻擊

與霸氣側漏的“要你命3000”相比

樸實無華的“菜刀”更實用

↓

業内還真有一位大俠

造出了這樣一把極簡又實用的菜刀

招招制敵

把勒索病毒砍得抱頭鼠竄

↓

要練好這把“菜刀”，可不容易

先要把各種勒索病毒的路數都搞清

大俠“解剖”了上百種勒索病毒

深入了解它們的特征

然後不斷精練自己的刀法

最終練成了獨門“五步刀法”

覆蓋整個勒索攻擊殺傷鍊

實現事前防禦、事中監測/阻斷、事後恢複的立體化防範

↓

首先

這把“菜刀”被安插在系統驅動層

對驅動進行接管

勒索病毒的任何小動作

（進程級丨文件級丨磁盤級丨網絡級）

都逃不過它的法眼

↓

接下來

大俠開始演練“五步刀法”

勒索行為監測--基于底層驅動感知

因為接管了系統驅動層

大俠可以感知到所有惡意行為

然後對這些操作進行規則匹配

大俠之前已經“解剖”過各種勒索病毒

把它們的特征全部記入了“小本本”

當多個可疑行為命中小本本中的規則

大俠就會怒意狂擊

發出告警或者終止惡意進程

通過這一招

大多數勒索病毒在搞事兒的第一步

就被幹掉了

(通常被轉移到隔離區，動彈不得)

勒索病毒誘捕--基于文件誘餌投遞

主流的勒索病毒

都會有篡改、加密、盜取文件的行為

這是他們實施勒索的重要籌碼

既然勒索病毒喜歡“搞文件”

大俠就投其所好，給它送點好貨

他會在關鍵位置撒下各種誘餌文件

（比如在系統桌面、文檔、根目錄等）

都是最合勒索病毒口味的文件

（文檔、圖片、音/視頻、數據庫、工程文件）

當勒索病毒遍曆系統時

誘餌文件會被第一個投遞過去

不僅讓勒索病毒暴露行為，見光死

還有效保護了真正的文件免遭戕害

關鍵業務保護--基于函數級調用監測

這一招也很巧妙

因為勒索病毒如果想加密文件

必須要求這個文件不被占用

比如一個Word文檔正在被打開編輯

那麼勒索病毒就無法對這個文件搞破壞

此時，勒索病毒就要把Word強制關閉

此時，大俠可不會袖手旁觀

他會對系統中正在運行的合法應用

進行特别保護

監測所有“退出/終止/中止”類函數調用

任何“殺進程/殺線程”的非法操作

都會被他阻止

這樣，既防止文件被加密

還保證了關鍵業務不被停止

以免特殊場景下因為應用異常關閉

給工藝控制帶來巨大損失

核心數據保護--基于訪問關系綁定

前三刀砍完，勒索病毒早求饒了

但大俠還是不肯松懈

什麼樣的文件該被什麼應用“增删改”

是有相對确定的綁定關系的

通過建立應用與數據之間的讀寫關系

就可以防止文件被“亂七八糟”的軟件改寫

數據智能備份--基于文件熵值計算

備份，是防勒索的最後一道關口

其實有前面4招，已經是無懈可擊

最後這招，是給用戶打個“加強針”

↓

可是備份不能一股腦瞎備

我們不是賣專業備份大軟件

1、沒必要的大動幹戈全量備份

2、不能把已經被加密文件備份了

所以大俠在備份時，隻備份關鍵數據

同時會計算文件的“信息熵”

（信息熵、方差值文件名、後綴名等）

基于上面這些特征

來判斷文件是否已經被加密了

如果加密則丢棄，并阻斷/隔離相關進程

如果文件正常，則進行備份

備份區内數據加密存儲（不會被破壞）

可以随時恢複，支撐業務快速還原

.

.

.

回顧一下這套“刀法”

五步層層遞進

勒索病毒被拿捏的死死的

完全沒有機會搞東搞西

那麼，這位手持“菜刀”的大俠

究竟是何方神聖？

是時候揭開大俠的神秘面紗了

他就是縱橫安全圈

威猛、努力、特持久的頂尖高手

威努特從防勒索實戰出發

打造出這把“削毒如泥”的快刀

ARS防勒索系統

作為防勒索的特效藥

針對性極強，勒索殺傷鍊全覆蓋

部署簡單，快刀斬亂麻

so，忘掉“要你命3000”吧

威努特打造這把“菜刀”，穩準狠

防勒索從此有了特效藥

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!