勒索病毒频发，怎样才能让用户高枕无忧？

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

某用户近日出现多台主机系统资源利用率居高不下，部分系统出现蓝屏情况，安恒安全人员紧急响应，在用户单位核心交换机旁路部署APT攻击预警平台，通过实时检测发现大量SMB远程命令执行的告警，根据APT告警信息判断此为SMB漏洞利用，高度怀疑此次事件为勒索病毒爆发。

现场应急人员根据APT攻击预警平台告警的源IP和目的IP，快速锁定了受感染服务器，提取病毒样本，并通过APT预警平台文件检测功能，对样本进行分析，确认此次事件为勒索病毒爆发。对受感染服务器提取病毒样本并通过APT预警平台输出沙箱报告进行分析，发现此次勒索病毒通过445端口进行传播，致系统资源利用率奇高。

勒索病毒行为分析

通过APT沙箱对勒索病毒样本进行动态行为分析，发现有创建进程walker.exe、释放boot.ini.WALKER文件等关键行为；

对动态检测结果进行分析，该勒索病毒会写入自启动注册表、遍历系统文件、读取引导配置，最终将大量系统文件进行加密并修改文件后缀名。

勒索病毒预警处置

从用户内网业务系统短时间内受到大面积感染来看，病毒传播极其迅速。此次传播突破用户边界防护设备，直击内部核心系统，然而用户内部系统防护脆弱，严重影响了用户业务系统的正常使用，并造成了重大损失。安恒第一时间响应，通过部署安恒APT预警平台对攻击溯源，并在用户终端部署EDR主机卫士阻断防护，及时有效遏止勒索病毒传播。

勒索病毒预警处置整体方案价值

攻击预警检测

流量实时监测预警

基于APT预警平台的攻击流量实时预警，对勒索病毒传播及时告警，对传播类型、传播途径、恶意代码利用、回连CC域名等进行深度解析；

APT沙箱动态行为分析

通过APT内置沙箱虚拟执行环境，对流量中勒索病毒动态行为分析，捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息，识别其中可疑的勒索病毒特点，快速对网络中传输的勒索病毒样本进行预警；

APT云端共享情报

通过APT云端情报共享，依托于云端海量数据、高级的机器学习和大数据分析能力，及时共享最新的安全威胁情报，提供更为精准的威胁分析能力；

终端安全防护

通过EDR主机卫士安装最新的安全补丁，避免勒索软件利用漏洞感染计算机，隔离其加密行为，封堵相应端口，并对攻击源IP进行阻断。