处置勒索事件

前提条件

为更好地使用该功能，请提前完成以下操作：

• 已使用租户账号登录华为乾坤控制台。
• 配置文件防篡改主动防御策略，具体操作请参见配置防篡改策略。

背景信息

勒索事件是指因勒索软件产生的威胁事件，包括文件篡改、漏洞利用等。

针对勒索事件，云端有如下几种处置方式：

• 云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。
• 云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。
• 云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。

租户需要对“未处置”的勒索事件进行处置，处置方法包括“快速处置”和“标记状态”。

• 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中勒索事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。
• 标记状态：租户可手动对勒索事件进行标记，标记后处置状态分别显示为“忽略”、“已修复”。
• 网络隔离：对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”，在隔离终端列表可以执行“恢复”操作。（只在服务首页入口的威胁事件列表中可操作）

操作步骤

1. 参考操作入口介绍选择一种操作入口，进入“勒索事件”的威胁事件列表。

   本章节以“安全运营中心（威胁事件）”入口为例。

2. 筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。
   图1 待处置勒索事件

   

3. 单击待处理事件的“事件名称”列，查看威胁事件详情，根据“处置建议”并结合实际情况，处置勒索事件。

   完成处置后，可以在“处置记录”页签查看处置记录。

   • 快速处置：运行中的进程和相关文件会按照“推荐处置动作”处置。
     • 忽略：除打上忽略标记外不进行任何处理。
     • 终止：立刻终止运行中的进程。
     • 隔离：将相关恶意文件移至该终端的隔离区，30天后自动清理。在此之前，您可以在终端详情界面的隔离区中恢复隔离文件。
     • 删除：删除由威胁事件衍生的恶意定时任务。
   • 标记状态
     • 忽略：经过排查后发现事件无需处理或者是误报时，可以将此事件标记为“忽略”。标记为“忽略”后，后续无需再关注此事件。除打上“忽略”标记外不进行任何处理。
     • 已修复：您已根据具体的事件采取人工处置，比如对异常主机执行病毒查杀，并确认此主机已无安全风险。确认风险主机中已清除病毒文件后，将事件标记为“已修复”。除打上“已修复”标记外不进行任何处理。
     • 未处置：除打上“未处置”标记外不进行任何处理。
   • 网络隔离：对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”，在隔离终端列表可以执行“恢复”操作。（只在服务首页入口的威胁事件列表中可操作）

   单击具体事件名称，可以查看事件详情、处置建议以及处置记录。

   

   当前，针对“检测到勒索病毒 WannaCry”这一特定勒索事件，安全运营专家提供了更为详细的处置手册。如果您不知如何处置，或者快速处置后未能有效解决，可以单击事件名称，在“处置建议”区域单击“处置手册”进行下载，按照指导步骤进一步深度清理。

   图2 下载处置手册
   

4. （可选）如果用户需要查看勒索事件详细信息，可在“威胁分析”中查看。
   • 威胁分析：展示攻击源和目的终端，以及对应事件的安全分析、取证信息和威胁信息。
   • 路径分析：展示对应事件的攻击链和进程树。
     图3 路径分析
     

     单击“路径分析”页签后，云端将通过智能分析关联到新的风险项并自动添加到快速处置项中，可单击“快速处置”对攻击链上所有恶意进程或文件进行清理。若攻击链上涉及到暴力破解威胁事件，将一并进行处置，同时封禁外部攻击源。

     • 忽略：除打上忽略标记外不进行任何处理。
     • 终止：立刻终止运行中的进程。
     • 隔离：将相关恶意文件移至该终端的隔离区，30天后自动清理。在此之前，您可以在终端详情界面的隔离区中恢复隔离文件。
     • 删除：删除由威胁事件衍生的恶意定时任务。

相关操作