勒索病毒是一种恶意软件,会加密用户的重要文件,可能要求支付赎金以解密文件。勒索监测通过诱饵文件监测和定期备份功能,可以及时发现勒索病毒入侵迹象并告警,帮助用户在遭受勒索后快速恢复备份。
限制说明
仅支持旗舰版的腾讯云服务器(Linux 只支持内核版本为3.10以上的操作系统)。
1台主机仅可绑定1条勒索监测策略。
计费说明
主机安全防护版本:使用勒索监测功能,主机须先绑定旗舰版授权,可在 主机安全购买页 中购买和绑定。
快照:备份将以腾讯云快照方式执行,采用后付费方式扣费,每小时进行一次结算,详情可查看 价格总览。
监测原理
监控诱饵文件:在特定目录下释放诱饵文件,定时检测诱饵文件名、hash 值等信息释放被篡改加密,若发现异常,实时告警用户。
监控非诱饵文件:基于文件检测、进程检测识别是否存在修改、删除、加密等行为,若发现异常,实时告警用户。
定期快照备份:提供一键快照功能,支持用户配置定时快照,为数据被加密后的恢复兜底。
操作步骤
1. 登录 主机安全控制台,在左侧导航栏中选择高级防御 > 勒索监测。
2. 在勒索监测页面顶部防护概况模块中,可查看已开启/全部防护策略、已监测/全部主机、已备份主机、恢复备份任务的统计情况;右侧提供三项推荐开启的配置项,以增强勒索监测能力。
推荐配置项 | 配置项描述 | 说明 |
客户端防卸载 | 在终端通过随机数验证码完成人机校验,并在检测到客户端被卸载后自动重装,对抗恶意卸载。 | 除主机安全控制台卸载客户端、使用官方卸载脚本/程序完成卸载两种方式外,其他均被判定为恶意卸载行为。 |
客户端进程守护 | 运行驱动模块对客户端进程进行守护,防止进程被终止。 | 仅限 Windows 系统,且版本须高于 Windows Server 2008。 |
病毒自动隔离 | 自动隔离病毒文件,让黑客无法再次启动它,便于您定位病毒文件位置,对其进行查杀。 | Windows 系统下,若该文件正在运行中,会导致隔离失败 部分恶意文件仍需用户手动确认隔离,建议您检查文件查杀中的告警列表,确保已全部处理。 若出现误隔离,请在已隔离列表中对文件进行恢复。 |
3. 单击勒索监测 > 策略详情,在策略列表中可完成策略的创建、编辑、启停与删除等管理操作。
字段说明:
策略名称:当前策略的名称标识。
诱饵告警目录:策略监控的诱饵目录范围。
备份周期:自动备份执行周期(如按天/按周)。
备份保留时长:备份快照保留时长。
策略生效主机:已绑定该策略的主机数量。
启用状态:策略当前是否启用。
操作:编辑、删除策略。
4. 单击创建策略按钮,按向导完成三步配置:
填写策略名称与描述,设置启用状态,并选择策略生效主机范围。
默认选中腾讯主机安全运营专家推荐的诱饵防护目录,适用于大部分的勒索病毒攻击场景。用户可按需新增目录或排除目录,确定诱饵监控范围。
按需开启自动备份,完成备份周期、时间、保留策略与备份盘设置后,单击保存即可。
说明:
5. 单击勒索监测 > 告警详情,在告警列表中查看并处理告警。
字段说明:
主机名称/实例 ID:触发告警的主机。
IP 地址:主机内网/公网 IP。
被篡改文件:被篡改的文件路径。
恶意进程 ID /全路径:恶意进程 ID 和路径。
恶意行为:加密勒索、文件篡改。
关联策略:当前事件命中的勒索监测策略。
首次发生时间:该告警首次被检测到的时间。
处理状态:待处理、已处理、已信任、已恢复备份、处理中。
操作:
详情:查看告警详情、进程树信息。
处理:恢复备份(推荐)、标记已处理、信任、删除记录。
6. 单击详情查看告警详情、进程树信息,并参考页面中的危害描述和解决方案进行研判和处理。
7. 单击勒索监测 > 备份详情,在备份列表中查看各主机备份状态与恢复入口。
字段说明:
主机名/实例 ID:已备份主机。
IP 地址:主机内网/公网 IP。
当前关联策略:该主机当前关联的勒索监测策略及策略启用状态。
已备份数:已生成的备份数量。
近一次备份状态:备份中、备份成功、备份失败、暂无备份。
近一次备份时间:最近一次执行备份时间。
操作:备份记录、恢复备份。
8. 单击备份记录,可查看主机备份概况、时间轴和备份明细,并支持从记录中发起恢复备份。
9. 单击恢复备份后,按向导完成恢复:
勾选备份磁盘,单击下一步。
1. 阅读并勾选备份恢复说明和服务器关闭/启动说明,单击开始恢复即可恢复备份。
2. 开始恢复备份后,单击界面提示中的恢复备份任务,可查看恢复结果。
说明:
备份恢复为事后恢复,不等同于阻断勒索加密,请结合告警和实际情况处理。
