N
公司动态
news
勒索病毒紧急防御方法
来源:
|
作者:pmodac4c0
|
发布时间: 2017-05-18
|
4523 次浏览
|
🔊 点击朗读正文
❚❚
▶
|
分享到:
勒索病毒紧急防御方法
1、微软已经更新了补丁,修补链接参考原文。
2、无法升级服务器情况下,基于权限*小化原则,在边界防火墙或主机上关闭137,139,445等smb协议端口,做白名单管理。
3、赶快升级深信服下一代防火墙ips和僵木蠕防御检测安全特征库。
后续建议:
1、基于*小安全域原则。做好pc终端和关键服务器的分区分域,实现风险可控。
2、做好关键数据备份的制度和习惯。桌面云,超融合,云灾备都是可选方案。
smb漏洞id 10010236
ips的规则库时间是0415一:勒索病毒原理性说明:
1、勒索病毒会自动加密电脑文件(如源代码、Word、Excel、PPT、PDF等),会更改终端背景图片提出勒索要求,除支付赎金外,业界目前尚无解密办法
2、Locky勒索病毒主要以邮件和恶链木马的形式进行传播,附件一般是压缩包,通过各种形式诱使用户打开,一旦被打开客户端回去连接黑客的C&C服务器下载勒索软件加密主机文件,主动提示交付赎金解密文件;
3、勒索病毒传播途径非常多,电子邮件,恶意网页木马形式,也包括U盘传递文件安装等方式。
二、AF防护勒索病毒的原理:(重要)
1、AF防护勒索病毒的主要依靠僵尸网络功能和内置杀毒引擎,对应特征库是僵尸网络规则库和病毒库。(开启web应用防护和IPS只能防护web服务器及其中间件,对勒索病毒防护是无效的,防御的威胁对象是不一样的,就好像吃板蓝根是预防感冒而打乙肝疫苗是防乙肝病毒)
2、AF防御勒索病毒的原理也是两个层次:
1)直接杀毒:如果杀毒引擎在解析邮件附件中发现病毒(匹配到病毒特征库),直接拦截;
2)拦截下载过程:如果病毒已经通过其他方式达到客户端,则AF会拦截该中招客户端去连接黑客的C&C服务器(僵尸网络功能),阻断下载勒索软件动作,定位中招服务器(此项整体防御效果达到95%);
1、微软已经更新了补丁,修补链接参考原文。
2、无法升级服务器情况下,基于权限*小化原则,在边界防火墙或主机上关闭137,139,445等smb协议端口,做白名单管理。
3、赶快升级深信服下一代防火墙ips和僵木蠕防御检测安全特征库。
后续建议:
1、基于*小安全域原则。做好pc终端和关键服务器的分区分域,实现风险可控。
2、做好关键数据备份的制度和习惯。桌面云,超融合,云灾备都是可选方案。
smb漏洞id 10010236
ips的规则库时间是0415一:勒索病毒原理性说明:
1、勒索病毒会自动加密电脑文件(如源代码、Word、Excel、PPT、PDF等),会更改终端背景图片提出勒索要求,除支付赎金外,业界目前尚无解密办法
2、Locky勒索病毒主要以邮件和恶链木马的形式进行传播,附件一般是压缩包,通过各种形式诱使用户打开,一旦被打开客户端回去连接黑客的C&C服务器下载勒索软件加密主机文件,主动提示交付赎金解密文件;
3、勒索病毒传播途径非常多,电子邮件,恶意网页木马形式,也包括U盘传递文件安装等方式。
二、AF防护勒索病毒的原理:(重要)
1、AF防护勒索病毒的主要依靠僵尸网络功能和内置杀毒引擎,对应特征库是僵尸网络规则库和病毒库。(开启web应用防护和IPS只能防护web服务器及其中间件,对勒索病毒防护是无效的,防御的威胁对象是不一样的,就好像吃板蓝根是预防感冒而打乙肝疫苗是防乙肝病毒)
2、AF防御勒索病毒的原理也是两个层次:
1)直接杀毒:如果杀毒引擎在解析邮件附件中发现病毒(匹配到病毒特征库),直接拦截;
2)拦截下载过程:如果病毒已经通过其他方式达到客户端,则AF会拦截该中招客户端去连接黑客的C&C服务器(僵尸网络功能),阻断下载勒索软件动作,定位中招服务器(此项整体防御效果达到95%);
Copyright © 2016-2017,广州尧顺信息科技有限公司,All rights reserved
联系人:罗先生 手机:13560099278 Q Q:651333497 邮箱:lzg@gzyaoshun.com
地址:广州市天河区华观路1933号万科云广场C栋816单元 粤ICP备16095157号
联系人:罗先生 手机:13560099278 Q Q:651333497 邮箱:lzg@gzyaoshun.com
地址:广州市天河区华观路1933号万科云广场C栋816单元 粤ICP备16095157号