文档首页 > > 最佳实践>

防御勒索病毒最佳实践

防御勒索病毒最佳实践

分享
更新时间:2021/01/28 GMT+08:00

勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密,用户将无法读取原本正常的文件,仅能通过向黑客缴纳高昂的赎金,换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金,一般无法溯源。

如果关键文件被加密,企业业务将受到严重影响;黑客索要高额赎金,也会带来直接的经济损失,因此,勒索病毒的入侵危害巨大。

工作原理

防勒索病毒是一个长期而持久的过程,华为云HSS事前(安全加固)、事中(主动防御)、事后(备份恢复)三部曲,为您抵挡勒索病毒入侵,营造主机资产安全运行环境。

前提条件

  • 使用HSS前,您需要购买HSS防护配额,并开启主机防护。
  • 如果需要使用云服务器备份服务恢复数据,请在事前对服务器进行定时备份。

事前:安全加固

配置安全基线

HSS每日凌晨自动检测系统中关键软件的配置风险并给出详细的加固方法。您可以根据给出的加固建议,正确处理主机内的各种风险配置信息。

  • 风险等级分为“高危”“中危”“低危”
  • 建议您优先修复“威胁等级”“高危”的关键配置,根据业务实际情况修复威胁等级为“中危”“低危”的关键配置,忽略可信任的配置项。

HSS支持检测的软件类型:Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。

  1. 进入“基线检查”页面,选择“配置检测”页签,查看配置检测详情,例如:SSH采用了不安全的加密算法。

  1. 进入配置风险详情页面,单击“检测详情”,您可以根据“审计描述”验证检测结果,根据“修改建议”处理主机中的异常信息,从而加固配置基线。

  2. 完成配置项的修复后,建议您立即执行手动检测,查看配置项修复结果。

    如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看配置项修复结果。

加固弱密码

HSS每日凌晨自动检测主机中使用的经典弱口令和您添加的自定义弱口令。您可以根据检测出的弱口令对应的弹性云服务器名称、账号名、账号类型和弱口令使用时长,加固弱密码。

HSS支持检测MySQL、FTP及系统账号的弱口令。

  1. 选择安全 > 企业主机安全,进入“基线检查”页面,加固弱密码。

  2. 进入“策略管理”页面,配置指定策略组的“弱口令检测”,添加自定义弱口令。

  3. 完成弱密码加固后,建议您立即执行手动检测,查看弱密码加固结果。

    如果您未进行手动验证,HSS会在次日凌晨执行自动验证。自动验证完成后,您可查看弱密码加固结果。

  4. 进入“告警通知”页面,勾选“弱口令”,一旦检测出弱口令,您将会收到告警通知。

修复漏洞

HSS每日凌晨自动进行一次全面的检测,“漏洞管理”通过订阅官方更新,判断服务器上的补丁是否已经更新,并推送官方补丁,将结果上报至管理控制台,并为您提供漏洞告警。帮助您及时发现漏洞,并在不影响业务的情况下修复漏洞、更新补丁。

  • 漏洞修复紧急程度分为“需尽快修复”“可延后修复”“暂可不修复”
  • 建议您优先修复“需尽快修复”的漏洞,根据业务实际情况修复“可延后修复”“暂可不修复”的漏洞,忽略无需修复的漏洞。
  1. 选择安全 > 企业主机安全,进入“漏洞管理”页面。
  2. 选择“Linux软件漏洞管理”“Windows系统漏洞管理”或者“Web-CMS漏洞管理”,一键漏洞修复或者根据“修复建议”进行手动修复漏洞。

  3. 修复漏洞后,您可以单击“验证”,一键验证该漏洞是否已修复成功。

    若您未进行手动验证,主机防护每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复结果。

  4. 进入安装与配置 > 告警通知页面,勾选“紧急漏洞”,HSS一旦检测出紧急漏洞(需尽快修复),您将会收到告警通知。

事中:主动防御

  • 手段一:病毒云查杀+使用智能学习策略防御勒索病毒(旗舰版)

病毒云查杀

HSS提供隔离查杀功能,将已感染主机迅速采取隔离措施防止病毒扩散蔓延。

  1. 选择安全 > 企业主机安全,进入“事件管理”页面,查看并处理“恶意程序(云查杀)”告警事件。

  2. 选择“隔离查杀”,一键查杀勒索病毒。

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

  3. 选择安装与配置 > 告警通知页面,勾选“恶意程序”实时告警通知,一旦检测出恶意程序,您将会收到告警通知。

使用智能学习策略防御勒索病毒

HSS可有效监控您云主机上的勒索软件及进程的加密行为,并进行及时的告警,对资产进行全面防护,有效保护您的文档和内容的安全,保障您的主机不被勒索病毒侵害。

  1. 创建智能学习策略

    1. 选择安全 > 企业主机安全,进入“勒索病毒防护”页面,选择“策略管理”,创建智能学习策略。

    2. 配置智能学习策略“基本信息”

    3. 单击“添加服务器”,在弹出的“添加关联服务器”的窗口中,选择关联服务器。

    4. 完成关联服务器添加后,单击“创建并学习”,自动对关联服务器进行智能学习,收集该策略下的所有服务器的正常进程行为数据,完成可信程序的判定。

      智能学习策略学习完成后,HSS将监控设置的“监控文件路径”,若发现非策略中的进程行为或者非可信程序的修改行为,及时触发告警。

  2. 处理告警事件

    1. 进入“勒索病毒防护”页面,在“事件管理”列表中,您可查看并处理告警事件。

    2. 在弹出的处理事件窗口中,标记“可信”或者“不可信”

    3. 您可以对非策略中的进程行为,或者“不可信”的进程行为进行手动阻断,并隔离查杀。防止非策略中的进程行为,或者不可信的进程对文件的加密操作。

  • 手段二:锁定文件防篡改网页防篡改版

HSS可锁定驱动级文件目录、Web文件目录下的文件,禁止攻击者修改锁定的文件目录下的文件。若HSS检测到锁定目录下的文件被篡改,将立即使用本地主机备份文件自动恢复被非法篡改的文件。

若本地主机上的文件目录和备份目录失效,可通过远端备份服务恢复被篡改的文件。

若需要使用HSS锁定文件目录及备份,请开启网页防篡改防护。

  1. 选择安全 > 企业主机安全,进入网页防篡改 > 防护列表页面,单击“防护设置”,进入防护设置页面。
  2. “防护设置”页面,添加防护目录,并将文件进行本地备份。

  3. 启动远端备份。HSS默认会将防护目录下的文件备份在“添加防护目录”时添加的本地备份路径下,为防止备份在本地的文件被攻击者破坏,请您启用远端备份功能。

    1. 进入网页防篡改 > 安装与配置页面,在“远端备份服务器”页面,添加远端备份服务器。

    2. 进入网页防篡改 > 防护列表,单击“防护设置”,进入防护设置页面,为防护目录启动远端备份。

事后:备份恢复

结合云服务器备份服务,当云服务器被勒索病毒侵害,存储在云服务器中的文件、数据丢失或者无法正常打开时,您可以通过重装服务器系统,并通过云服务器备份的数据恢复云服务器。

  1. 选择计算 > 弹性云服务器,在待重装操作系统的弹性云服务器的操作列下,单击更多 > 镜像/磁盘 > 重装操作系统

  2. 选择存储 > 云服务器备份,找到服务器所对应的备份,单击服务器所在行的“恢复”

    恢复成功后,被勒索病毒攻击的文件可正常打开。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区论坛频道来与我们联系探讨

智能客服提问云社区提问