中新網(wǎng)11月15日電 今年5月WannaCry 勒索病毒在全球范圍內(nèi)大面積肆虐，該病毒利用 NSA 黑客工具包中的“永恒之藍(lán)”0day 漏洞，通過(guò)445端口(文件共享)在內(nèi)網(wǎng)進(jìn)行蠕蟲(chóng)式感染傳播，百余個(gè)國(guó)家的網(wǎng)絡(luò)和重要數(shù)據(jù)遭到破壞。國(guó)內(nèi)同樣出現(xiàn)了大量感染該病毒的 IP ，保守估計(jì)超過(guò)30萬(wàn)臺(tái)終端和服務(wù)器受到感染，幾乎覆蓋了全國(guó)所有地區(qū)。

　　今年6月在 WannaCry 勒索病毒陰霾還未完全消散時(shí)，一個(gè)名為 Petya 的最新勒索病毒再度肆虐全球。今年10月新型變種勒索病毒 BadRabbit 來(lái)襲。

　　針對(duì)勒索類病毒，國(guó)內(nèi)外網(wǎng)絡(luò)信息安全公司陸續(xù)提出多種解決方案。目前方案可以分為三類。第一類是病毒預(yù)警，病毒查殺：此類解決方案以勒索病毒的預(yù)警、查殺為核心思路，防止終端電腦感染勒索病毒。此思路的優(yōu)勢(shì)是針對(duì)已知的病毒可以進(jìn)行最有效的預(yù)防和阻斷。缺點(diǎn)是針對(duì)未知的病毒，缺乏相應(yīng)的防護(hù)能力。第二類是文檔備份，文檔恢復(fù)：此類解決方案的核心是針對(duì)重要文件進(jìn)行備份防護(hù)，以及針對(duì)已經(jīng)被勒索病毒感染的文件嘗試解密恢復(fù)。不論是文檔的備份還是解密受感染的文件，此思路都屬于事后處理，難以彌補(bǔ)病毒造成的危害。第三類是主動(dòng)防御，徹底阻斷：此類解決方案的立意是徹底阻斷 WannaCry 這一類勒索病毒對(duì)文檔造成的破壞性危害，不論病毒如何變異，以及不需要對(duì)文件進(jìn)行大批量的備份操作，就能避免勒索病毒造成的影響。

　　基于“主動(dòng)防御，徹底阻斷”的思路，北京明朝萬(wàn)達(dá)科技股份有限公司經(jīng)過(guò)深入分析病毒運(yùn)作機(jī)制，結(jié)合國(guó)內(nèi)當(dāng)前實(shí)際現(xiàn)狀，推出了針對(duì)性的勒索病毒防護(hù)產(chǎn)品——Chinasec(安元)數(shù)據(jù)安全保鏢。

　　通過(guò)分析病毒本身的執(zhí)行過(guò)程得知，勒索病毒對(duì)文件進(jìn)行加密的前提是必須擁有文件的編輯權(quán)限。對(duì)于文件的編輯權(quán)限，windows 提供了兩層管理機(jī)制：第一層是基于windows 用戶的管理，鑒于目前終端基本都是最高權(quán)限，病毒可以直接利用此權(quán)限進(jìn)行破壞；第二層是進(jìn)程對(duì)文件的權(quán)限，當(dāng)進(jìn)程對(duì)文件進(jìn)行操作時(shí)，我們可以對(duì)其操作權(quán)限進(jìn)行控制?；诖嗽恚瑪?shù)據(jù)安全保鏢產(chǎn)品將重要路徑下的文件與合法進(jìn)程綁定，只有合法進(jìn)程才能夠擁有文件的所有操作權(quán)限，非法進(jìn)程無(wú)法對(duì)目標(biāo)文件進(jìn)行編輯，繼而達(dá)到防止勒索病毒進(jìn)程對(duì)文件進(jìn)行破壞的目的。

　　主動(dòng)防御機(jī)制：產(chǎn)品基于勒索軟件對(duì)文件的操作行為出發(fā)，摒棄傳統(tǒng)針對(duì)病毒特征繁瑣的偵測(cè)判定方法，禁止了一切可疑進(jìn)程對(duì)文件的操作，無(wú)論是已知病毒或是未知病毒，都無(wú)法對(duì)文件造成損害。

　　防護(hù)效果無(wú)關(guān)文件類型：產(chǎn)品基于針對(duì)防護(hù)路徑做有效防護(hù)，而無(wú)關(guān)路徑下的文件格式。對(duì)于特殊的文件格式，無(wú)需進(jìn)行針對(duì)性的適配。

　　操作便捷：無(wú)需關(guān)閉端口、頻繁打補(bǔ)丁以及改變防火墻參數(shù)，通過(guò)簡(jiǎn)單的策略設(shè)置便可達(dá)到防御效果。

　　定義防護(hù)路徑：產(chǎn)品支持將本地的一條或多條重要路徑設(shè)置為被保護(hù)路徑，也可以將需要保護(hù)的文件放到防護(hù)路徑中，可以控制防護(hù)路徑的啟停用。

　　定義合法進(jìn)程：本產(chǎn)品對(duì)于進(jìn)程白名單的定義提供自動(dòng)和手動(dòng)兩種機(jī)制。自動(dòng)定義是指系統(tǒng)自動(dòng)識(shí)別當(dāng)前電腦上運(yùn)行了所有的已知合法應(yīng)用，并批量添加到進(jìn)程白名單中。手動(dòng)定義是對(duì)自動(dòng)定義的補(bǔ)充和調(diào)整，當(dāng)自動(dòng)定義的進(jìn)程中含有過(guò)多冗余或者某個(gè)合法進(jìn)程沒(méi)有啟動(dòng)的時(shí)候，可以通過(guò)手動(dòng)的方式進(jìn)行刪除或者新增。

　　防護(hù)效果：用戶對(duì)防護(hù)路徑和進(jìn)程白名單設(shè)置完成后，白名單中的進(jìn)程擁有對(duì)已啟動(dòng)的防護(hù)路徑下文件的所有操作權(quán)限；非白名單進(jìn)程擁有防護(hù)路徑下文件的讀權(quán)限，無(wú)其他權(quán)限。勒索病毒進(jìn)程即使訪問(wèn)路徑下文件，由于沒(méi)有文件的操作權(quán)限，也不會(huì)導(dǎo)致文件被非法加密的后果，從而達(dá)到防勒索病毒的目的。

　　日志記錄：通過(guò)日志審計(jì)展示可疑進(jìn)程訪問(wèn)防護(hù)路徑文件的記錄，可以將其中的可信進(jìn)程添加到進(jìn)程白名單。

　　明朝萬(wàn)達(dá)將憑借技術(shù)優(yōu)勢(shì)，繼續(xù)深化數(shù)據(jù)安全垂直解決方案，深耕數(shù)據(jù)安全在公安等各行業(yè)及業(yè)務(wù)領(lǐng)域的應(yīng)用，形成以數(shù)據(jù)為中心的產(chǎn)業(yè)鏈閉環(huán)。

?

?

相關(guān)鏈接：

?