中新網(wǎng)11月15日電 今年5月WannaCry 勒索病毒在全球范圍內(nèi)大面積肆虐，該病毒利用 NSA 黑客工具包中的“永恒之藍”0day 漏洞，通過445端口(文件共享)在內(nèi)網(wǎng)進行蠕蟲式感染傳播，百余個國家的網(wǎng)絡和重要數(shù)據(jù)遭到破壞。國內(nèi)同樣出現(xiàn)了大量感染該病毒的 IP ，保守估計超過30萬臺終端和服務器受到感染，幾乎覆蓋了全國所有地區(qū)。

　　今年6月在 WannaCry 勒索病毒陰霾還未完全消散時，一個名為 Petya 的最新勒索病毒再度肆虐全球。今年10月新型變種勒索病毒 BadRabbit 來襲。

　　針對勒索類病毒，國內(nèi)外網(wǎng)絡信息安全公司陸續(xù)提出多種解決方案。目前方案可以分為三類。第一類是病毒預警，病毒查殺：此類解決方案以勒索病毒的預警、查殺為核心思路，防止終端電腦感染勒索病毒。此思路的優(yōu)勢是針對已知的病毒可以進行最有效的預防和阻斷。缺點是針對未知的病毒，缺乏相應的防護能力。第二類是文檔備份，文檔恢復：此類解決方案的核心是針對重要文件進行備份防護，以及針對已經(jīng)被勒索病毒感染的文件嘗試解密恢復。不論是文檔的備份還是解密受感染的文件，此思路都屬于事后處理，難以彌補病毒造成的危害。第三類是主動防御，徹底阻斷：此類解決方案的立意是徹底阻斷 WannaCry 這一類勒索病毒對文檔造成的破壞性危害，不論病毒如何變異，以及不需要對文件進行大批量的備份操作，就能避免勒索病毒造成的影響。

　　基于“主動防御，徹底阻斷”的思路，北京明朝萬達科技股份有限公司經(jīng)過深入分析病毒運作機制，結合國內(nèi)當前實際現(xiàn)狀，推出了針對性的勒索病毒防護產(chǎn)品——Chinasec(安元)數(shù)據(jù)安全保鏢。

　　通過分析病毒本身的執(zhí)行過程得知，勒索病毒對文件進行加密的前提是必須擁有文件的編輯權限。對于文件的編輯權限，windows 提供了兩層管理機制：第一層是基于windows 用戶的管理，鑒于目前終端基本都是最高權限，病毒可以直接利用此權限進行破壞；第二層是進程對文件的權限，當進程對文件進行操作時，我們可以對其操作權限進行控制?；诖嗽恚瑪?shù)據(jù)安全保鏢產(chǎn)品將重要路徑下的文件與合法進程綁定，只有合法進程才能夠擁有文件的所有操作權限，非法進程無法對目標文件進行編輯，繼而達到防止勒索病毒進程對文件進行破壞的目的。

　　主動防御機制：產(chǎn)品基于勒索軟件對文件的操作行為出發(fā)，摒棄傳統(tǒng)針對病毒特征繁瑣的偵測判定方法，禁止了一切可疑進程對文件的操作，無論是已知病毒或是未知病毒，都無法對文件造成損害。

　　防護效果無關文件類型：產(chǎn)品基于針對防護路徑做有效防護，而無關路徑下的文件格式。對于特殊的文件格式，無需進行針對性的適配。

　　操作便捷：無需關閉端口、頻繁打補丁以及改變防火墻參數(shù)，通過簡單的策略設置便可達到防御效果。

　　定義防護路徑：產(chǎn)品支持將本地的一條或多條重要路徑設置為被保護路徑，也可以將需要保護的文件放到防護路徑中，可以控制防護路徑的啟停用。

　　定義合法進程：本產(chǎn)品對于進程白名單的定義提供自動和手動兩種機制。自動定義是指系統(tǒng)自動識別當前電腦上運行了所有的已知合法應用，并批量添加到進程白名單中。手動定義是對自動定義的補充和調整，當自動定義的進程中含有過多冗余或者某個合法進程沒有啟動的時候，可以通過手動的方式進行刪除或者新增。

　　防護效果：用戶對防護路徑和進程白名單設置完成后，白名單中的進程擁有對已啟動的防護路徑下文件的所有操作權限；非白名單進程擁有防護路徑下文件的讀權限，無其他權限。勒索病毒進程即使訪問路徑下文件，由于沒有文件的操作權限，也不會導致文件被非法加密的后果，從而達到防勒索病毒的目的。

　　日志記錄：通過日志審計展示可疑進程訪問防護路徑文件的記錄，可以將其中的可信進程添加到進程白名單。

　　明朝萬達將憑借技術優(yōu)勢，繼續(xù)深化數(shù)據(jù)安全垂直解決方案，深耕數(shù)據(jù)安全在公安等各行業(yè)及業(yè)務領域的應用，形成以數(shù)據(jù)為中心的產(chǎn)業(yè)鏈閉環(huán)。

?

?

相關鏈接：

?