勒索病毒是一种恶意软件,会加密用户的重要文件,可能要求支付赎金以解密文件。勒索防御通过诱饵文件和定期备份功能,可以有效监控勒索病毒的入侵,保护用户的重要数据,遭受勒索后也可及时恢复备份。
限制说明
仅支持旗舰版的腾讯云服务器(Linux 只支持内核版本为3.10以上的操作系统)。
1台主机仅可绑定1条勒索防御策略。
计费说明
主机安全防护版本:使用勒索防御功能,主机须先绑定旗舰版授权,可在 主机安全购买页 中购买和绑定。
快照:备份将以腾讯云快照方式执行,采用后付费方式扣费,每小时进行一次结算,详情可查看 价格总览。
防御原理
1. 监控诱饵文件:在特定目录下释放诱饵文件,定时检测诱饵文件名、HASH 值等信息释放被篡改加密,若发现异常,实时告警用户。
2. 监控非诱饵文件:基于文件检测、进程检测识别是否存在修改、删除、加密等行为,若发现异常,实时告警用户。
3. 定期快照备份:提供一键快照功能,支持用户配置定时快照,为数据被加密后的恢复兜底。
操作步骤
1. 登录 主机安全控制台,在左侧导航栏中选择高级防御 > 勒索防御。
2. 在勒索防御 > 策略详情中,单击创建策略,通过以下三步创建防御策略。
说明:
3. 创建好策略后,可查看当前策略、告警、防御率的统计情况,支持一键停用所有勒索防御策略。
4. 在告警详情页面,单击详情可查看告警详情、危害描述、解决方案及进程树信息。
5. 在告警详情页面中,单击处理,支持对主机进行如下操作。
恢复备份:若主机已被勒索攻击,单击后可选择备份列表中的快照进行恢复。
标记已处理:建议您参照告警详情中的“修复建议”进行处理,处理后可将该告警标记为已处理。
信任:信任操作后,仅对当前主机上该文件(MD5)或进程进行加白信任,同时将对应的所有告警进行信任处理,后续不再告警,请谨慎操作。
可勾选同时批量信任相同文件(MD5)或进程的告警,对所有勒索防御的主机生效。
删除记录:删除该告警记录,控制台将不再显示,无法恢复记录,请慎重操作。
6. 在备份详情中,可查看各主机备份的情况,含关联策略、已备份数、近一次备份状态及时间,可查看备份详细记录,可选择其中一个快照恢复备份。
