主机卫士EDR的一次勒索病毒阻击战

摘要: 主机卫士EDR的一次勒索病毒阻击战 7月20日晚9点，安恒信息某客户在内网多台机器上发现几个进程导致CPU占用率极高，多家友商杀毒软件不断报警，但无法停止这些进程的运行，现场人员束手无策。 当晚10点，安恒信息现场技术人员想到近期推出的具备勒索防御功能模块的安...

主机卫士EDR的一次勒索病毒阻击战

7月20日晚9点，安恒信息某客户在内网多台机器上发现几个进程导致CPU占用率极高，多家友商杀毒软件不断报警，但无法停止这些进程的运行，现场人员束手无策。

当晚10点，安恒信息现场技术人员想到近期推出的具备勒索防御功能模块的安恒主机卫士EDR。经EDR产品团队及客户现场技术人员紧急支持，在数台情况紧急的机器上优先部署了终端。很快产生了大量进程防护日志：

根据日志可以发现，机器中存在许多未知勒索病毒，EDR凭借专利级的诱饵引擎进行捕获，阻断其加密行为，暂时控制住病毒的爆发。

到凌晨1点，现场技术人员发现感染病毒的机器上spoolsv.exe在内网不断进行针对4**端口的扫描和发包行为，试图发现可攻击主机，发现目标后执行smb远程溢出漏洞攻击，从而进行病毒的传播。EDR产品团队立即采取相应措施，迅速查找攻击源，保证不影响业务的情况下，在相应的机器上部署EDR，配置双向流量隔离，通过隔离来阻止勒索病毒在内网的扩散或者接收远程控制端指令：

凌晨2点，现场技术人员配合产品团队对近百台机器展开病毒查杀并隔离相应的病毒木马和恶意程序。通过分析EDR的防护日志，发现此次安全事件是由于客户机器上4**端口开放且未安装最新补丁造成的。查明原因后，通过EDR中心推送的补丁信息为客户部署终端的机器安装最新补丁，成功完成此次安全事件应急响应，得到客户的认可。EDR产品组秉承着“客户第一”的价值观，第一时间给出百台终端试用授权，目前已针对内网500+端点部署EDR终端。

针对此次安全事件，EDR产品团队总结出对于勒索病毒的应急流程图如下：

安恒主机卫士（EDR）勒索防御功能简介

对于已知勒索病毒，零误报，零漏报查杀； 对于未知勒索病毒，采用专利级的诱饵引擎进行捕获，阻止其加密行为； 通过内核级的流量隔离技术，自动阻止勒索病毒在内网扩散或者接收远程控制指令；

勒索防御功能模块集成在EDR产品中，一键开启；

支持勒索保险：安装EDR以后，再有勒索中招，赔付由于勒索病毒所发生的赎金、处理、加固等所有费用。