勒索病毒防护概述
什么是勒索病毒防护?
勒索病毒,又名勒索软件,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。企业的业务系统一旦遭受勒索病毒攻击,大部分关键文件将会被加密,并且仅能通过向黑客缴纳高昂的赎金才能换取解密密钥恢复文件。这不仅会导致企业业务中断、数据泄露或丢失等问题,还会带来直接的经济损失。
针对勒索病毒威胁,企业主机安全提供了勒索病毒防护功能,能够实现对勒索病毒的检测和防御;同时,还提供了数据备份功能,支持定时自动备份和勒索即刻备份,帮助您抵御勒索病毒,降低业务受损风险。
勒索病毒防护原理
- 实时防御已知勒索病毒
企业主机安全拥有十亿级病毒样本库,实现已知勒索家族全覆盖。同时,企业主机安全采用本地防毒和云端查杀相结合的病毒防御模式,在服务器本地,利用自研第三代病毒防御引擎检测勒索攻击;在云端病毒防御中心,通过行为分析、情报、AI模型、多引擎检测等手段,识别勒索攻击,并实现对勒索病毒的阻断和拦截。
- 诱捕并拦截未知新型勒索病毒
- 备份保障数据的完整性
企业主机安全与云备份(Cloud Backup and Recovery,CBR)服务结合,为用户提供勒索备份功能。用户开启勒索备份功能后,可根据自身需求设置定期备份策略,周期性对服务器进行数据备份;同时,在检测到勒索攻击时,企业主机安全也会触发勒索即刻备份,保障服务器数据的完整性,降低用户业务受损风险。
图1 勒索备份原理
约束与限制
- 仅企业主机安全旗舰版、网页防篡改版、容器版支持勒索病毒防护功能。购买和升级企业主机安全的操作,请参见购买主机安全防护配额和升级防护配额。
- 当Linux主机安装了3.2.10或以上版本的Agent,或者Windows主机安装了4.0.22或以上版本的Agent,开启企业主机安全旗舰版、网页防篡改版或容器版防护时,系统会自动为主机开启勒索病毒防护,但不会自动开启勒索备份,您可以根据需要手动开启勒索备份;如果主机安装的Agent版本非上述版本,您需要手动开启勒索病毒防护和勒索备份。
勒索病毒防护使用流程
|
操作项 |
说明 |
|---|---|
|
为目标服务器开启勒索病毒防护,部署静态、动态勒索诱饵,实时检测勒索病毒攻击。
注意:
如果开启勒索病毒防护后,您在服务器上发现可疑文件,可以提交工单联系技术支持确认该文件是否是企业主机安全部署的诱饵文件。诱饵文件用于检测勒索病毒攻击,不会对您的业务造成影响,也不包含任何恶意内容,并且不支持手动删除。
|
|
|
目前没有任何工具能100%防护勒索病毒,因此定期为服务器备份,可在勒索事件发生后,及时通过备份恢复数据,减少损失。 |
|
|
在防护勒索病毒过程中,一旦触发勒索防护事件,请您及时分析并阻断勒索病毒运行,同时加固系统存在的安全薄弱项。 |
|
|
当勒索病毒入侵成功,造成您的业务数据丢失,如果您开启了勒索备份,可通过备份恢复数据,减少损失。 |
