勒索病毒频发,怎样才能让用户高枕无忧?

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

某用户近日出现多台主机系统资源利用率居高不下,部分系统出现蓝屏情况,安恒安全人员紧急响应,在用户单位核心交换机旁路部署APT攻击预警平台,通过实时检测发现大量SMB远程命令执行的告警,根据APT告警信息判断此为SMB漏洞利用,高度怀疑此次事件为勒索病毒爆发。

现场应急人员根据APT攻击预警平台告警的源IP和目的IP,快速锁定了受感染服务器,提取病毒样本,并通过APT预警平台文件检测功能,对样本进行分析,确认此次事件为勒索病毒爆发。对受感染服务器提取病毒样本并通过APT预警平台输出沙箱报告进行分析,发现此次勒索病毒通过445端口进行传播,致系统资源利用率奇高。

勒索病毒行为分析

通过APT沙箱对勒索病毒样本进行动态行为分析,发现有创建进程walker.exe、释放boot.ini.WALKER文件等关键行为;

对动态检测结果进行分析,该勒索病毒会写入自启动注册表、遍历系统文件、读取引导配置,最终将大量系统文件进行加密并修改文件后缀名。

勒索病毒预警处置

从用户内网业务系统短时间内受到大面积感染来看,病毒传播极其迅速。此次传播突破用户边界防护设备,直击内部核心系统,然而用户内部系统防护脆弱,严重影响了用户业务系统的正常使用,并造成了重大损失。安恒第一时间响应,通过部署安恒APT预警平台对攻击溯源,并在用户终端部署EDR主机卫士阻断防护,及时有效遏止勒索病毒传播。

勒索病毒预警处置整体方案价值

攻击预警检测

流量实时监测预警

基于APT预警平台的攻击流量实时预警,对勒索病毒传播及时告警,对传播类型、传播途径、恶意代码利用、回连CC域名等进行深度解析;

APT沙箱动态行为分析

通过APT内置沙箱虚拟执行环境,对流量中勒索病毒动态行为分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警;

APT云端共享情报

通过APT云端情报共享,依托于云端海量数据、高级的机器学习和大数据分析能力,及时共享最新的安全威胁情报,提供更为精准的威胁分析能力;

终端安全防护

通过EDR主机卫士安装最新的安全补丁,避免勒索软件利用漏洞感染计算机,隔离其加密行为,封堵相应端口,并对攻击源IP进行阻断。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-08-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

RAT远程访问木马主控端全网探测分析

RAT 简介 远程访问木马(RAT,remote access Trojan)是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。通常攻击者会将远程访问...

53040
来自专栏域名资讯

海外高价收购2字母DO.com

海外一家互联网房地产公司收购极品两字母域名Do.com,目前收购价格暂不可知。

6100
来自专栏BestSDK

微信支付SDK被曝重大漏洞,陌陌、vivo已被入侵!

国外安全社区Seclists.Org里一名白帽子披露了微信支付官方SDK存在严重的XXE漏洞,可导致商家服务器被入侵,并且黑客可避开真实支付通道,用虚假的支付通...

19750
来自专栏Debian社区

这是一场战争 Debian技术委员会已经八去其三

围绕Debian选择初始化系统systemd所引发的争论让三名资深成员先后宣布从Debian技术委员会辞职。Russ Allbery和Colin Watson在...

12030
来自专栏区块链

网络安全:如何保护您的智能手机免受黑客攻击

白帽子部队 网络安全是21世纪人们无法忽视的问题。大多数人认为,黑客攻击的对象是政府,大公司,金融机构,知名人士。然而,我们每天都使用智能手机进行网上购物,转账...

411100
来自专栏FreeBuf

最新漏洞利用包可租用每天需80美元

? 近日,以色列网络安全公司IntSights Cyber Intelligence透露,一种新型的漏洞利用套件正在俄罗斯某地下黑客论坛被进行出售。据论坛信息...

427110
来自专栏海天一树

2.5亿融资引发的血案:中国红芯依然是谷歌芯

中午吃饭的时候,把红芯浏览器的融资故事,给做区块链发空气币的朋友简单讲了一下。他气得拍起了桌子:“这TM是诈骗啊,兄弟。

13210
来自专栏程序员互动联盟

中国的黑客究竟有多张狂?

这是我反病毒工作生涯中头一回遇到这样的事,给我留下了深刻的印象。我在研究一种病毒时竟然和制作这个病毒的黑客进行了聊天。没错,聊天。事情发生在Threat反病毒小...

42950
来自专栏FreeBuf

KK插件病毒感染全球700万台手机,证据显示幕后黑手来自深圳

1、概述 KK插件是一个可以在整个手机操作系统中弹出恶意广告的移动病毒。早在几个月前,在Google Play中的KK插件变种产品就已经有至少185个了,这些病...

27480
来自专栏黑白安全

研究称卫星有漏洞:黑客可让卫星过度充电令其损

(原标题:Warning over satellite security bugs)

9520

扫码关注云+社区

领取腾讯云代金券