主机卫士EDR的一次勒索病毒阻击战

摘要: 主机卫士EDR的一次勒索病毒阻击战 7月20日晚9点,安恒信息某客户在内网多台机器上发现几个进程导致CPU占用率极高,多家友商杀毒软件不断报警,但无法停止这些进程的运行,现场人员束手无策。 当晚10点,安恒信息现场技术人员想到近期推出的具备勒索防御功能模块的安...

主机卫士EDR的一次勒索病毒阻击战

7月20日晚9点,安恒信息某客户在内网多台机器上发现几个进程导致CPU占用率极高,多家友商杀毒软件不断报警,但无法停止这些进程的运行,现场人员束手无策。

当晚10点,安恒信息现场技术人员想到近期推出的具备勒索防御功能模块的安恒主机卫士EDR。经EDR产品团队及客户现场技术人员紧急支持,在数台情况紧急的机器上优先部署了终端。很快产生了大量进程防护日志:

根据日志可以发现,机器中存在许多未知勒索病毒,EDR凭借专利级的诱饵引擎进行捕获,阻断其加密行为,暂时控制住病毒的爆发。

到凌晨1点,现场技术人员发现感染病毒的机器上spoolsv.exe在内网不断进行针对4**端口的扫描和发包行为,试图发现可攻击主机,发现目标后执行smb远程溢出漏洞攻击,从而进行病毒的传播。EDR产品团队立即采取相应措施,迅速查找攻击源,保证不影响业务的情况下,在相应的机器上部署EDR,配置双向流量隔离,通过隔离来阻止勒索病毒在内网的扩散或者接收远程控制端指令:

凌晨2点,现场技术人员配合产品团队对近百台机器展开病毒查杀并隔离相应的病毒木马和恶意程序。通过分析EDR的防护日志,发现此次安全事件是由于客户机器上4**端口开放且未安装最新补丁造成的。查明原因后,通过EDR中心推送的补丁信息为客户部署终端的机器安装最新补丁,成功完成此次安全事件应急响应,得到客户的认可。EDR产品组秉承着“客户第一”的价值观,第一时间给出百台终端试用授权,目前已针对内网500+端点部署EDR终端。

针对此次安全事件,EDR产品团队总结出对于勒索病毒的应急流程图如下:

安恒主机卫士(EDR)勒索防御功能简介

对于已知勒索病毒,零误报,零漏报查杀; 对于未知勒索病毒,采用专利级的诱饵引擎进行捕获,阻止其加密行为; 通过内核级的流量隔离技术,自动阻止勒索病毒在内网扩散或者接收远程控制指令;

勒索防御功能模块集成在EDR产品中,一键开启;

支持勒索保险:安装EDR以后,再有勒索中招,赔付由于勒索病毒所发生的赎金、处理、加固等所有费用。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-07-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

不是闹鬼,是病毒!全球首个Golem(傀儡)病毒感染数万手机

手机放在桌子上充电,突然亮屏,在没人触摸的情况下,一个手机游戏自己运行,滑动,执行许多命令。执行完之后,手机静悄悄关闭屏幕显示,跟什么都没发生一样。手机主人会发...

21480
来自专栏海天一树

2.5亿融资引发的血案:中国红芯依然是谷歌芯

中午吃饭的时候,把红芯浏览器的融资故事,给做区块链发空气币的朋友简单讲了一下。他气得拍起了桌子:“这TM是诈骗啊,兄弟。

13210
来自专栏知晓程序

国家邮政局出手了!只需一个小程序,上百家公司快递轻松查、寄 | 国家队 #12

在微信小程序的服务范围中,「政务民生」是一个不容忽视的大类。这预示着,未来只要用手机,就能处理大量公关事务,享受公共服务。

12630
来自专栏金融民工小曾

【支付系统设计从0到1】支付系统流程和典型架构设计

1.支付应用根据用户选择的支付工具来调用对应的支付产品来执行支付。 2.支付产品通过支付网关根据支付工具、渠道费率、接口稳定性等因素选择合适的支付渠道来落地支付...

18720
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-4 FB70过账客户发票

4.5 过帐客户发票 客户发票可从销售与分销模块(SD) 或财务模块(FI)创建. SAP BestPractices 解决方案中, 若销售与分销模块(SD)...

40350
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(二)

2016年中国网络空间安全年报 日前,由安恒信息风暴中心策划编撰的《2016年中国网络空间安全年报》重磅发布。《2016年中国网络空间安全年报》旨在从安全大数...

33760
来自专栏Debian社区

这是一场战争 Debian技术委员会已经八去其三

围绕Debian选择初始化系统systemd所引发的争论让三名资深成员先后宣布从Debian技术委员会辞职。Russ Allbery和Colin Watson在...

12030
来自专栏FreeBuf

最新漏洞利用包可租用每天需80美元

? 近日,以色列网络安全公司IntSights Cyber Intelligence透露,一种新型的漏洞利用套件正在俄罗斯某地下黑客论坛被进行出售。据论坛信息...

427110
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-2创建演示数据-客户发票

2.3 创建演示数据 2.3.1 过帐客户发票(以本国货币) 以下示例描述了如何输入客户发票。 已创建客户。已维护总分类帐帐户的主数据。 要执行该活动,使用此文...

35060
来自专栏FreeBuf

这款奇葩的Android勒索软件竟然让受害者用语音说出解锁密码

这是一款针对国人的勒索软件,锁屏界面会显示勒索人的QQ,解锁的时候还用了百度TTL进行语音输入。 ? 近期,安全研究专家发现了一种新型的Android勒索软件。...

22570

扫码关注云+社区

领取腾讯云代金券