勒索病毒频发,怎样才能让用户高枕无忧?

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

关注

某用户近日出现多台主机系统资源利用率居高不下,部分系统出现蓝屏情况,安恒安全人员紧急响应,在用户单位核心交换机旁路部署APT攻击预警平台,通过实时检测发现大量SMB远程命令执行的告警,根据APT告警信息判断此为SMB漏洞利用,高度怀疑此次事件为勒索病毒爆发。

现场应急人员根据APT攻击预警平台告警的源IP和目的IP,快速锁定了受感染服务器,提取病毒样本,并通过APT预警平台文件检测功能,对样本进行分析,确认此次事件为勒索病毒爆发。对受感染服务器提取病毒样本并通过APT预警平台输出沙箱报告进行分析,发现此次勒索病毒通过445端口进行传播,致系统资源利用率奇高。

勒索病毒行为分析

通过APT沙箱对勒索病毒样本进行动态行为分析,发现有创建进程walker.exe、释放boot.ini.WALKER文件等关键行为;

对动态检测结果进行分析,该勒索病毒会写入自启动注册表、遍历系统文件、读取引导配置,最终将大量系统文件进行加密并修改文件后缀名。

勒索病毒预警处置

从用户内网业务系统短时间内受到大面积感染来看,病毒传播极其迅速。此次传播突破用户边界防护设备,直击内部核心系统,然而用户内部系统防护脆弱,严重影响了用户业务系统的正常使用,并造成了重大损失。安恒第一时间响应,通过部署安恒APT预警平台对攻击溯源,并在用户终端部署EDR主机卫士阻断防护,及时有效遏止勒索病毒传播。

勒索病毒预警处置整体方案价值

攻击预警检测

流量实时监测预警

基于APT预警平台的攻击流量实时预警,对勒索病毒传播及时告警,对传播类型、传播途径、恶意代码利用、回连CC域名等进行深度解析;

APT沙箱动态行为分析

通过APT内置沙箱虚拟执行环境,对流量中勒索病毒动态行为分析,捕获其动态行为、网络行为、进程行为、文件行为、注册表行为等关键信息,识别其中可疑的勒索病毒特点,快速对网络中传输的勒索病毒样本进行预警;

APT云端共享情报

通过APT云端情报共享,依托于云端海量数据、高级的机器学习和大数据分析能力,及时共享最新的安全威胁情报,提供更为精准的威胁分析能力;

终端安全防护

通过EDR主机卫士安装最新的安全补丁,避免勒索软件利用漏洞感染计算机,隔离其加密行为,封堵相应端口,并对攻击源IP进行阻断。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180807A1LR1500?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券