勒索病毒防范和消除方法(防勒索病毒千万别用)
现在聊起勒索病毒的危害
基本不用做任何铺垫
大家都知道那玩意儿的厉害
甚至还能跟你叭叭叭,如数家珍
列举一大堆经典的勒索案例和病毒名
仿佛自己亲身经历过…
可如果说到具体怎么防勒索
很多人用的武器却像是
「要你命3000」
怎么理解呢
勒索病毒是这几年才流行起来的新事物
可大家防范时,往往还在沿袭老办法
把各种安全手段全招呼上
从边界防护开始使劲
防火墙、防毒墙、IDPS、NDR
然后到主机安全、终端杀毒、EDR
最后再拿SOC/态感/XDR整出群防群治的气氛
……
这不就是活脱脱的“要你命3000”嘛
↓
“要你命3000”的效果怎么样呢
尽管这些武器单拎出来都挺能打
可是拼装起来却难以形成合力
还额外增加了运维人员的配置负担
看似层层设防,实则百密一疏
最后的结果,就可想而知了
↓
本质上讲,勒索病毒是新威胁
对付这种新威胁,就不能用老办法
要找到病根,研发出特效药
一招制敌,唯快不破
那么
怎样找到防勒索特效药呢?
我们先看看勒索病毒的攻击原理
就目前已知的情况
勒索攻击主要基于5种途径
↓
①基于系统漏洞执行远程代码;②基于钓鱼邮件投递;③基于移动介质创建快捷方式诱导点击;④通过软件分发渠道传播;⑤通过远程桌面植入病毒;
而攻击到目标后
具体搞破坏的方式,主要有4种
①文件加密②系统加密③数据窃取④屏幕锁定
↓
勒索病毒还有个最重要的特征
一旦中招,除了交赎金外,几乎无解
这就有点像狂犬病
只要发了病,致死率100%
所以,对付勒索攻击就像对付狂犬病
一定要在中招前防范
中招后就回天乏术了
因此,要研制“特效药”
就必须深入剖析整个攻击流程
然后防患于未然
下面我们剖析下勒索攻击这条“疯狗”
勒索攻击全过程一般分三个阶段
①感染、准备阶段
②遍历加密阶段
③破坏勒索阶段
每一步,都有相应的动作特征
↓
防勒索就要针对这三个阶段
识别病毒每一步动作,见招拆招
该杀的杀,该挡的挡,该备的备
第一阶段,重点在于检测
第二阶段,核心是对文件的防护
到了第三阶段,则是利用备份来恢复
有人说,针对这种勒索攻击
EDR产品不就是特效药?
EDR对防勒索的确有效果
但EDR更像是“广谱”药
要日理万机,面对各种终端威胁挑战
但对于勒索攻击这种穷凶极恶的病毒
迫切需要一种“特效加强针”
能够对杀伤链进行完整覆盖
让胆战心惊的用户们可以轻松上手
更有效的防范勒索攻击
与霸气侧漏的“要你命3000”相比
朴实无华的“菜刀”更实用
↓
业内还真有一位大侠
造出了这样一把极简又实用的菜刀
招招制敌
把勒索病毒砍得抱头鼠窜
↓
要练好这把“菜刀”,可不容易
先要把各种勒索病毒的路数都搞清
大侠“解剖”了上百种勒索病毒
深入了解它们的特征
然后不断精练自己的刀法
最终练成了独门“五步刀法”
覆盖整个勒索攻击杀伤链
实现事前防御、事中监测/阻断、事后恢复的立体化防范
↓
首先
这把“菜刀”被安插在系统驱动层
对驱动进行接管
勒索病毒的任何小动作
(进程级丨文件级丨磁盘级丨网络级)
都逃不过它的法眼
↓
接下来
大侠开始演练“五步刀法”
勒索行为监测--基于底层驱动感知
因为接管了系统驱动层
大侠可以感知到所有恶意行为
然后对这些操作进行规则匹配
大侠之前已经“解剖”过各种勒索病毒
把它们的特征全部记入了“小本本”
当多个可疑行为命中小本本中的规则
大侠就会怒意狂击
发出告警或者终止恶意进程
通过这一招
大多数勒索病毒在搞事儿的第一步
就被干掉了
(通常被转移到隔离区,动弹不得)
勒索病毒诱捕--基于文件诱饵投递
主流的勒索病毒
都会有篡改、加密、盗取文件的行为
这是他们实施勒索的重要筹码
既然勒索病毒喜欢“搞文件”
大侠就投其所好,给它送点好货
他会在关键位置撒下各种诱饵文件
(比如在系统桌面、文档、根目录等)
都是最合勒索病毒口味的文件
(文档、图片、音/视频、数据库、工程文件)
当勒索病毒遍历系统时
诱饵文件会被第一个投递过去
不仅让勒索病毒暴露行为,见光死
还有效保护了真正的文件免遭戕害
关键业务保护--基于函数级调用监测
这一招也很巧妙
因为勒索病毒如果想加密文件
必须要求这个文件不被占用
比如一个Word文档正在被打开编辑
那么勒索病毒就无法对这个文件搞破坏
此时,勒索病毒就要把Word强制关闭
此时,大侠可不会袖手旁观
他会对系统中正在运行的合法应用
进行特别保护
监测所有“退出/终止/中止”类函数调用
任何“杀进程/杀线程”的非法操作
都会被他阻止
这样,既防止文件被加密
还保证了关键业务不被停止
以免特殊场景下因为应用异常关闭
给工艺控制带来巨大损失
核心数据保护--基于访问关系绑定
前三刀砍完,勒索病毒早求饶了
但大侠还是不肯松懈
什么样的文件该被什么应用“增删改”
是有相对确定的绑定关系的
通过建立应用与数据之间的读写关系
就可以防止文件被“乱七八糟”的软件改写
数据智能备份--基于文件熵值计算
备份,是防勒索的最后一道关口
其实有前面4招,已经是无懈可击
最后这招,是给用户打个“加强针”
↓
可是备份不能一股脑瞎备
我们不是卖专业备份大软件
1、没必要的大动干戈全量备份
2、不能把已经被加密文件备份了
所以大侠在备份时,只备份关键数据
同时会计算文件的“信息熵”
(信息熵、方差值文件名、后缀名等)
基于上面这些特征
来判断文件是否已经被加密了
如果加密则丢弃,并阻断/隔离相关进程
如果文件正常,则进行备份
备份区内数据加密存储(不会被破坏)
可以随时恢复,支撑业务快速还原
.
.
.
回顾一下这套“刀法”
五步层层递进
勒索病毒被拿捏的死死的
完全没有机会搞东搞西
那么,这位手持“菜刀”的大侠
究竟是何方神圣?
是时候揭开大侠的神秘面纱了
他就是纵横安全圈
威猛、努力、特持久的顶尖高手
威努特从防勒索实战出发
打造出这把“削毒如泥”的快刀
ARS防勒索系统
作为防勒索的特效药
针对性极强,勒索杀伤链全覆盖
部署简单,快刀斩乱麻
so,忘掉“要你命3000”吧
威努特打造这把“菜刀”,稳准狠
防勒索从此有了特效药
,
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com