罗湖商城网站建设多少钱,国外建站工具,网站建设及维护推广合同,达州网站建设yufanse什么是勒索软件
勒索软件又称勒索病毒#xff0c;是一种特殊的恶意软件#xff0c;又被归类为“阻断访问式攻击”#xff08;denial-of-access attack#xff09;#xff0c;与其他病毒最大的不同在于攻击方法以及中毒方式。
攻击方法#xff1a;攻击它采用技术手段限制…什么是勒索软件
勒索软件又称勒索病毒是一种特殊的恶意软件又被归类为“阻断访问式攻击”denial-of-access attack与其他病毒最大的不同在于攻击方法以及中毒方式。
攻击方法攻击它采用技术手段限制受害者访问系统或系统内的数据如文档、邮件、数据库、源代码等并以此要挟受害者。受害者需要支付一定数量的赎金才有可能重新取得数据控制权以此来达到勒索的目的。中毒方式勒索软件一般通过木马病毒的形式传播将自身掩盖为看似无害的文件通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。
任何组织和个人都可能成为勒索软件攻击的目标网络犯罪分子可能无差别攻击也可能针对更有价值的组织如政府机构、医院等更有意愿支付赎金的组织拥有敏感数据的机构。勒索软件不仅影响组织的正常运行导致业务停滞或中断还可能会泄露商业秘密影响企业形象。
勒索软件的类型
根据勒索软件所使用的勒索方式主要分为以下三类
影响用户系统的正常使用比如 PC Cyborg、QiaoZhazTrojan/Win32.QiaoZhaz等会采用锁定系统屏幕等方式迫使系统用户付款以换取对系统的正常使用。恐吓用户比如 FakeAVTrojan[Ransom]/Win32.FakeAV等会伪装成反病毒软件谎称在用户的系统中发现病毒诱骗用户付款购买其“反病毒软件”。又如RevetonTrojan[Ransom]/Win32.Foreign会根据用户所处地域不同而伪装成用户所在地的执法机构声称用户触犯法律迫使用户支付赎金。绑架用户数据这是近期比较常见的一种勒索方式最典型的是CTB-Locker家族Trojan[Ransom]/Win32.CTBLocker采用高强度的加密算法加密用户文档只有在用户支付赎金后才提供解密文档的方法 。 勒索软件检测工具的优势
使用 DataSecurity Plus 的勒索软件检测和响应功能发现并遏制勒索软件攻击。
检测勒索软件指标应对攻击
检测勒索软件指标
检测勒索软件入侵在勒索软件攻击开始时检测它审核文件服务器是否存在文件重命名和删除事件的突然激增这通常是勒索软件攻击的前奏。接收即时通知通过设置实时警报和威胁响应来确定勒索软件检测的优先级一旦发生可疑文件更改立即收到通知。阻止勒索软件的传播快速阻止勒索软件感染滚雪球般地演变成大规模数据泄露关闭受感染的设备以隔离它们并减轻损害。
应对攻击
隔离损坏的设备通过使用自动化的预定义威胁响应机制将勒索软件攻击的影响降至最低断开受感染用户帐户的会话以阻止勒索软件的进一步传播。识别勒索软件损坏的文件使用内置威胁库发现已知勒索软件变种如 Petya、Locky 等的攻击通过永久删除这些勒索软件加密文件来保护您的数据。保留数据以供调查生成审计跟踪以促进调查并保存法律证据保留和分析审计数据以预测和阻止未来的威胁。
防范勒索软件的最佳实践
备份文件处理勒索软件攻击的最有效方法是使用 3-2-1 备份规则在两种不同的存储类型上保留至少三个不同版本的数据至少有一个异地。培训最终用户定期培训员工如何识别和避免常见的勒索软件陷阱例如恶意广告、网络钓鱼电子邮件等。修补漏洞通过定期更新操作系统、浏览器和其他应用程序中的漏洞来减少它们。使用入侵检测系统使用持续监控实时检测异常或恶意活动的迹象在早期阶段切断勒索软件攻击。使用电子邮件过滤阻止恶意可执行文件、垃圾邮件、网络钓鱼电子邮件和已知勒索软件使用的其他方法。将应用程序列入白名单将可接受的软件添加到白名单中并阻止未经授权的程序运行。提供尽可能少的特权使用强大的访问管理来限制不必要的访问并减少恶意软件进入组织的访问点数量。逻辑上独立的网络通过根据任务或部门分离网络在发生勒索软件攻击时减少数据丢失。
如何检测勒索软件
在短时间内多次修改文件和加密证据是勒索软件的两个明显迹象。使用一些简单的模式DataSecurity Plus可以及早检测到这些勒索软件的迹象并在攻击发生时识别它们。可以按照以下步骤配置自动威胁响应机制以便在勒索软件攻击开始时立即关闭任何勒索软件攻击。
1、运行数据安全Plus导航到“警报”选项卡
2、单击页面右上角的新建警报配置文件。
3、命名警报配置文件并包含适当的描述例如“潜在的勒索软件攻击”。
4、在严重性选项卡中选择严重。
5、打开阈值限制部分并指定要监控的事件数例如“一分钟内修改 100 次文件”*。
6、导航到条件部分并在选项卡下添加以下筛选器
行动创建、修改、重命名和文件扩展名更改监控All显示器类型文件和文件夹文件类型All用户All
7、使用“排除”选项卡可忽略单个文件、组织特定的文件类型和文件夹以进行选择性监视并防止误报检测。并减少误报。
8、导航到电子邮件通知并指定要向其发送警报的一个或多个电子邮件地址。将电子邮件优先级设置为高。
9、在“执行命令”文本框中运行默认脚本例如“{install_location} \bin \alertScripts \triggershutdown.bat %server_name%”以关闭受感染的系统。
注意您还可以执行禁用用户帐户、禁用网络的其他脚本或者根据组织需求定制的自己的脚本之一。
10、要保存配置的警报请单击保存。
现在已成功将 DataSecurity Plus 配置为检测并响应在一分钟内检测到 100 多个文件事件如创建、修改和重命名的方案。
*阈值限制将根据服务器大小、用户数量和使用级别而有所不同。
勒索软件检测工具问题解答
Q当检测到勒索软件攻击时可以自动断开用户的会话吗
ADataSecurity Plus允许执行自己的脚本以执行根据组织需求定制的操作例如断开用户会话锁定用户帐户或关闭系统。
Q可以检测到未来的勒索软件攻击吗
ADataSecurity Plus可以及时识别所有勒索软件攻击并生成基于阈值的告警这些告警在定义的时间跨度内发生一定数量的受监控事件时触发。
Q可以阻止像WannaCry和Petya这样的已知勒索软件感染整个网络吗
A许多勒索软件变体在加密数据时使用特定的文件扩展名DataSecurity Plus使用这些恶意文件扩展来识别已知的勒索软件变体并立即阻止它们。
Q如果勒索软件感染了网络可以确定攻击的起始位置吗
ADataSecurity Plus能识别攻击开始的机器的客户端IP可以使用此信息和其他信息执行根本原因分析。
Q刚刚提醒已检测到可能的勒索软件活动该怎么办
A如果是这种情况那么DataSecurity Plus应该已经关闭了可能受感染的系统。从这里开始您应该分析审计数据以确定它是哪种勒索软件变体并从那里开始规划您的策略。
DataSecurity Plus数据可见性和数据泄漏防护组件可帮助企业抵御内部威胁、防止数据丢失并满足合规性要求。
