文档首页/ 企业主机安全 HSS/ 用户指南/ 主机防御/ 勒索病毒防护/ 开启勒索病毒防护
更新时间:2025-09-08 GMT+08:00
查看PDF
分享

开启勒索病毒防护

操作场景

勒索病毒防护功能提供已知、未知勒索病毒的实时检测和防御,建议您为每台服务器都开启勒索病毒防护。

当主机已安装的Agent版本为以下版本时,开启企业主机安全旗舰版、网页防篡改版或容器安全版防护,企业主机安全会同步为主机开启勒索病毒防护,在主机上部署诱饵文件,并对可疑加密进程执行自动隔离(极小概率存在误隔离)。勒索病毒防护自动开启后,您可以根据自身业务需求修改默认的防护策略(如防护目录、防护动作等),具体操作请参见管理勒索病毒防护策略
  • Linux:Agent版本大于或等于3.2.10。
  • Windows:Agent版本大于或等于4.0.22。

如果主机安装的Agent版本非上述版本,或者关闭了勒索病毒防护功能需要重新开启,可参考本章节开启勒索病毒防护。

如果开启勒索病毒防护后,您在服务器上发现可疑文件,可以提交工单联系技术支持确认该文件是否是企业主机安全部署的诱饵文件。诱饵文件用于检测勒索病毒攻击,不会对您的业务造成影响,也不包含任何恶意内容,并且不支持手动删除。

步骤一:新建防护策略

开启勒索病毒防护前,需要创建勒索防护策略,设置诱饵防护目录、防护文件类型、防护动作等信息。

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 选择主机防御 > 勒索病毒防护 ,进入“勒索病毒防护”界面。
  4. (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
  5. 选择“防护策略”页签,单击“添加防护策略”
  6. 设置防护策略参数,相关参数说明请参见表 防护策略参数说明

    图1 设置防护策略参数
    表1 防护策略参数说明

    参数名称

    参数说明

    取值样例

    服务器操作系统

    选择服务器操作系统类型。

    Linux

    防护策略名称

    设置防护策略的名称。

    Anti_Ransomware

    防护动作

    发现勒索病毒事件后的处理方式。

    • 告警并自动隔离:发现勒索病毒攻击时,告警并阻断加密文件的进程。
    • 告警:发现勒索病毒攻击时,仅告警提示。

    告警并自动隔离

    动态诱饵防护

    此处诱饵指的是模拟真实业务文件的假文件,可以吸引攻击者注意,实时捕捉可能存在的勒索加密行为。

    诱饵防护分为动态和静态诱饵防护,通常两者会同时启用以实现更全面的防护效果

    开启动态诱饵防护后,系统会在诱饵防护目录和其他随机位置(不包括排除目录)中部署诱饵文件,在随机位置部署的诱饵文件每12小时会自动删除再重新随机部署。诱饵文件会占用小部分服务器资源,您可以将不需要部署诱饵文件的目录配置在排除目录内。

    动态诱饵防护凭借其动态变化性,具备更出色的勒索攻击检测能力。

    仅Linux系统,需要设置此项。

    开启

    诱饵防护目录

    静态诱饵防护是在指定的防护目录下投放诱饵文件。如果您有重要业务目录或数据目录需要防护,可以将其添加为防护目录。诱饵文件部署在该目录(不包括子目录)下,可以分散攻击者注意,从而延缓攻击者攻击真实资源。

    多个目录请用英文分号隔开,最多支持填写20个防护目录。

    Linux系统必填,Windows系统可选填。
    • Linux:/root;/home;/opt;/var;/etc
    • Windows:C:\software

    排除目录(选填)

    无需部署诱饵文件进行防护的目录。

    多个目录请用英文分号隔开,最多支持填写20个排除目录。
    • Linux:/bin;/boot;/lib;/lib32;/lib64;/lost+found;/proc;/run;/sbin;/selinux;/srv;/sys;/usr/bin;/usr/local/bin;/usr/local/sbin;/usr/sbin;/var/lib/container;/var/lib/kubelet;/var/lib/ntp/proc
    • Windows:C:\software\test

    防护文件类型

    需要防护的服务器文件类型或格式,自定义勾选即可。

    涵盖数据库、容器、代码、证书密钥、备份等9大文件类型,共70+种文件格式。

    仅Linux系统,需要设置此项。

    全选

    进程白名单(选填)

    添加自动忽略检测的进程文件路径,可在告警中获取。

    仅Windows系统,需要设置此项。

    -

    AI勒索防护

    对主机全盘文件进行监控,实时检测勒索攻击相关特征(勒索信特征、加密行为特征),综合研判主机是否遭受勒索软件攻击。

    针对疑似勒索攻击事件,通过图引擎进一步检测,综合溯源分析,识别潜在勒索攻击。关于图引擎检测更详细的介绍请参见策略管理概述中相关策略的说明。

    如果要进行图引擎检测,则需要同步打开图引擎检测和HIPS检测策略开关,相关操作请参见配置策略

    为了确保AI勒索防护功能正常启用,Windows Agent版本需要升级至4.0.28或以上版本;低于此版本的Agent不支持AI勒索防护功能。

    仅Windows系统,需要设置此项。

  7. 单击确定,添加完成。

    在防护策略列表中,查看到添加的防护策略,表示添加防护策略成功。

步骤二:开启勒索病毒防护

防护策略创建完成后,可参考本小节开启勒索病毒防护。

  1. 在勒索病毒防护界面,选择“防护服务器”页签。
  2. 在目标服务器勒索防护状态栏,单击“立即开启”

    您也可以选中多台操作系统类型相同的服务器,并单击列表上方的“开启勒索病毒防护”,批量为服务器开启防护。

    图2 立即开启

  3. “开启勒索病毒防护”弹窗中,确认服务器信息并选择防护策略。

    图3 开启勒索病毒防护

  4. 单击确定,开启防护。

    服务器勒索防护状态显示已开启,表示开启勒索病毒防护成功。所有勒索防护状态的含义请参见表2

    表2 勒索防护状态说明

    勒索防护状态

    说明

    防护中

    已成功开启勒索病毒防护。

    未开启

    未开启勒索病毒防护。

    开启中

    正在开启勒索病毒防护。

    关闭中

    正在关闭勒索病毒防护。

    防护失败

    勒索病毒防护失败,解决办法请参见勒索防护异常

    防护降级

    部分防护目录的诱饵文件部署失败,导致防护降级,请检查System群组是否拥有该防护目录的完全控制权限。

后续操作

目前没有任何工具能100%防护勒索病毒,建议您为服务器开启备份功能,如果发生勒索事件,可通过备份恢复数据,减少损失。具体操作请参见开启勒索备份

常见问题

勒索防护异常

父主题: 勒索病毒防护