勒索病毒防范和消除方法（防勒索病毒千万别用）

现在聊起勒索病毒的危害

基本不用做任何铺垫

大家都知道那玩意儿的厉害

甚至还能跟你叭叭叭，如数家珍

列举一大堆经典的勒索案例和病毒名

仿佛自己亲身经历过…

可如果说到具体怎么防勒索

很多人用的武器却像是

「要你命3000」

怎么理解呢

勒索病毒是这几年才流行起来的新事物

可大家防范时，往往还在沿袭老办法

把各种安全手段全招呼上

从边界防护开始使劲

防火墙、防毒墙、IDPS、NDR

然后到主机安全、终端杀毒、EDR

最后再拿SOC/态感/XDR整出群防群治的气氛

……

这不就是活脱脱的“要你命3000”嘛

↓

“要你命3000”的效果怎么样呢

尽管这些武器单拎出来都挺能打

可是拼装起来却难以形成合力

还额外增加了运维人员的配置负担

看似层层设防，实则百密一疏

最后的结果，就可想而知了

↓

本质上讲，勒索病毒是新威胁

对付这种新威胁，就不能用老办法

要找到病根，研发出特效药

一招制敌，唯快不破

那么

怎样找到防勒索特效药呢？

我们先看看勒索病毒的攻击原理

就目前已知的情况

勒索攻击主要基于5种途径

↓

①基于系统漏洞执行远程代码；②基于钓鱼邮件投递；③基于移动介质创建快捷方式诱导点击；④通过软件分发渠道传播；⑤通过远程桌面植入病毒；

而攻击到目标后

具体搞破坏的方式，主要有4种

①文件加密②系统加密③数据窃取④屏幕锁定

↓

勒索病毒还有个最重要的特征

一旦中招，除了交赎金外，几乎无解

这就有点像狂犬病

只要发了病，致死率100%

所以，对付勒索攻击就像对付狂犬病

一定要在中招前防范

中招后就回天乏术了

因此，要研制“特效药”

就必须深入剖析整个攻击流程

然后防患于未然

下面我们剖析下勒索攻击这条“疯狗”

勒索攻击全过程一般分三个阶段

①感染、准备阶段

②遍历加密阶段

③破坏勒索阶段

每一步，都有相应的动作特征

↓

防勒索就要针对这三个阶段

识别病毒每一步动作，见招拆招

该杀的杀，该挡的挡，该备的备

第一阶段，重点在于检测

第二阶段，核心是对文件的防护

到了第三阶段，则是利用备份来恢复

有人说，针对这种勒索攻击

EDR产品不就是特效药？

EDR对防勒索的确有效果

但EDR更像是“广谱”药

要日理万机，面对各种终端威胁挑战

但对于勒索攻击这种穷凶极恶的病毒

迫切需要一种“特效加强针”

能够对杀伤链进行完整覆盖

让胆战心惊的用户们可以轻松上手

更有效的防范勒索攻击

与霸气侧漏的“要你命3000”相比

朴实无华的“菜刀”更实用

↓

业内还真有一位大侠

造出了这样一把极简又实用的菜刀

招招制敌

把勒索病毒砍得抱头鼠窜

↓

要练好这把“菜刀”，可不容易

先要把各种勒索病毒的路数都搞清

大侠“解剖”了上百种勒索病毒

深入了解它们的特征

然后不断精练自己的刀法

最终练成了独门“五步刀法”

覆盖整个勒索攻击杀伤链

实现事前防御、事中监测/阻断、事后恢复的立体化防范

↓

首先

这把“菜刀”被安插在系统驱动层

对驱动进行接管

勒索病毒的任何小动作

（进程级丨文件级丨磁盘级丨网络级）

都逃不过它的法眼

↓

接下来

大侠开始演练“五步刀法”

勒索行为监测--基于底层驱动感知

因为接管了系统驱动层

大侠可以感知到所有恶意行为

然后对这些操作进行规则匹配

大侠之前已经“解剖”过各种勒索病毒

把它们的特征全部记入了“小本本”

当多个可疑行为命中小本本中的规则

大侠就会怒意狂击

发出告警或者终止恶意进程

通过这一招

大多数勒索病毒在搞事儿的第一步

就被干掉了

(通常被转移到隔离区，动弹不得)

勒索病毒诱捕--基于文件诱饵投递

主流的勒索病毒

都会有篡改、加密、盗取文件的行为

这是他们实施勒索的重要筹码

既然勒索病毒喜欢“搞文件”

大侠就投其所好，给它送点好货

他会在关键位置撒下各种诱饵文件

（比如在系统桌面、文档、根目录等）

都是最合勒索病毒口味的文件

（文档、图片、音/视频、数据库、工程文件）

当勒索病毒遍历系统时

诱饵文件会被第一个投递过去

不仅让勒索病毒暴露行为，见光死

还有效保护了真正的文件免遭戕害

关键业务保护--基于函数级调用监测

这一招也很巧妙

因为勒索病毒如果想加密文件

必须要求这个文件不被占用

比如一个Word文档正在被打开编辑

那么勒索病毒就无法对这个文件搞破坏

此时，勒索病毒就要把Word强制关闭

此时，大侠可不会袖手旁观

他会对系统中正在运行的合法应用

进行特别保护

监测所有“退出/终止/中止”类函数调用

任何“杀进程/杀线程”的非法操作

都会被他阻止

这样，既防止文件被加密

还保证了关键业务不被停止

以免特殊场景下因为应用异常关闭

给工艺控制带来巨大损失

核心数据保护--基于访问关系绑定

前三刀砍完，勒索病毒早求饶了

但大侠还是不肯松懈

什么样的文件该被什么应用“增删改”

是有相对确定的绑定关系的

通过建立应用与数据之间的读写关系

就可以防止文件被“乱七八糟”的软件改写

数据智能备份--基于文件熵值计算

备份，是防勒索的最后一道关口

其实有前面4招，已经是无懈可击

最后这招，是给用户打个“加强针”

↓

可是备份不能一股脑瞎备

我们不是卖专业备份大软件

1、没必要的大动干戈全量备份

2、不能把已经被加密文件备份了

所以大侠在备份时，只备份关键数据

同时会计算文件的“信息熵”

（信息熵、方差值文件名、后缀名等）

基于上面这些特征

来判断文件是否已经被加密了

如果加密则丢弃，并阻断/隔离相关进程

如果文件正常，则进行备份

备份区内数据加密存储（不会被破坏）

可以随时恢复，支撑业务快速还原

.

.

.

回顾一下这套“刀法”

五步层层递进

勒索病毒被拿捏的死死的

完全没有机会搞东搞西

那么，这位手持“菜刀”的大侠

究竟是何方神圣？

是时候揭开大侠的神秘面纱了

他就是纵横安全圈

威猛、努力、特持久的顶尖高手

威努特从防勒索实战出发

打造出这把“削毒如泥”的快刀

ARS防勒索系统

作为防勒索的特效药

针对性极强，勒索杀伤链全覆盖

部署简单，快刀斩乱麻

so，忘掉“要你命3000”吧

威努特打造这把“菜刀”，稳准狠

防勒索从此有了特效药

,