文件后綴名被篡改或者辦公文檔����、照片�����、視頻等文件的圖標(biāo)變?yōu)椴豢纱蜷_(kāi)形式�����。一般來(lái)說(shuō)���,文件后綴名會(huì)被改成勒索病毒家族的名稱或其家族代表標(biāo)志�����,如:GlobeImposter家族的后綴為.dream��、.TRUE��、.CHAK等��;Satan家族的后綴.satan�、sicck���;Crysis家族的后綴有.ARROW���、.arena等。
勒索病毒自身寄生性非常強(qiáng)����,先寄生在宿主機(jī),然后向目標(biāo)機(jī)感染��,一旦進(jìn)入終端機(jī)��,就會(huì)自動(dòng)運(yùn)行�����,同時(shí)刪除勒索病毒樣本,以躲避查殺和分析���。如果中招的電腦處于一個(gè)局域網(wǎng)當(dāng)中�,那么只要一臺(tái)電腦感染病毒��,其他電腦只要開(kāi)機(jī)上網(wǎng)�����,馬上也會(huì)被感染��。勒索病毒會(huì)通過(guò)像445端口這樣的文件共享和網(wǎng)絡(luò)打印機(jī)共享端口或漏洞展開(kāi)擴(kuò)散感染�,并且還發(fā)現(xiàn)了很多起利用未公開(kāi)漏洞傳播感染勒索病毒事件。
勒索病毒變種非??欤瑢?duì)常規(guī)的殺毒軟件都具有天然的免疫性�。攻擊的樣本以exe�����、js����、wsf����、vbe等類型為主�,對(duì)常規(guī)依靠特征檢測(cè)的殺毒軟件來(lái)講是一個(gè)極大的挑戰(zhàn)。勒索病毒出現(xiàn)變種后����,不僅加快了傳播速度和再識(shí)別的難度,而且可能會(huì)影響網(wǎng)絡(luò)的穩(wěn)定運(yùn)行�����。
勒索病毒如何防御�?
目前勒索病毒防御,一般是多種產(chǎn)品和服務(wù)組合而成���,同時(shí)在防御時(shí)要求用戶信息系統(tǒng)升級(jí)�,另外一些方案還對(duì)用戶的系統(tǒng)提出特殊要求��,如要求用戶斷網(wǎng)���,操作系統(tǒng)打補(bǔ)丁��,關(guān)相應(yīng)端口等�����。
為滿足政府���、軍隊(duì)�、能源���、教育���、金融、衛(wèi)生�����、企業(yè)等行業(yè)對(duì)服務(wù)器與終端未知威脅檢測(cè)和未知惡意代碼防御方面需求�����,基于在大數(shù)據(jù)安全分析領(lǐng)域的優(yōu)勢(shì)�����,國(guó)聯(lián)易安開(kāi)發(fā)出下一代勒索病毒防御系統(tǒng)�,產(chǎn)品主要技術(shù)手段如下:
一是通過(guò)威脅情報(bào),實(shí)現(xiàn)“智能化輔助決策”�。在過(guò)去的安全防御中,更多的是關(guān)注如何提升系統(tǒng)內(nèi)部的防御能力����,缺少對(duì)外部攻擊者的研究和了解,永遠(yuǎn)處在被動(dòng)防御的狀態(tài)�。
威脅情報(bào)的引入解決了這一問(wèn)題,通過(guò)互聯(lián)網(wǎng)上海量數(shù)據(jù)的收集分析���,為用戶提供了攻擊發(fā)起者的背景信息�,既可以指導(dǎo)安全防御體系建設(shè)�����,也可以直接用來(lái)發(fā)現(xiàn)安全威脅���。
二是通過(guò)行為關(guān)聯(lián)分析�,定位“攻擊動(dòng)作鏈條”��。一件攻擊事件在不同的階段具備不同的行為特征,這些行為特征分開(kāi)來(lái)看并不一定直接構(gòu)成威脅�����,而原有的解決方案中并不具備將這些行為進(jìn)行關(guān)聯(lián)分析的能力�,導(dǎo)致這些安全威脅無(wú)法被檢測(cè)和阻止。
所以�����,要實(shí)現(xiàn)對(duì)未知威脅以及未知勒索病毒的檢測(cè)必須依靠機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析能力����,通過(guò)大量的行為日志分析和快速檢索,找出關(guān)鍵目標(biāo)和威脅�����,對(duì)相關(guān)事件進(jìn)行關(guān)聯(lián)分析���,還原安全事件全貌���,并進(jìn)行有效的防御和處置。
三是通過(guò)機(jī)器學(xué)習(xí)技術(shù)����,對(duì)抗“病毒變種威脅”����。傳統(tǒng)殺毒技術(shù)嚴(yán)重依賴于樣本獲得能力和病毒分析師的能力�,這種能力只能處理已知問(wèn)題�����,不能對(duì)可能發(fā)生的問(wèn)題進(jìn)行防范�,具有嚴(yán)重的滯后性和局限性。
國(guó)聯(lián)易安依托海量的威脅情報(bào)庫(kù)和惡意軟件捕獲能力��,通過(guò)機(jī)器學(xué)習(xí)技術(shù)訓(xùn)練的未知惡意軟件檢測(cè)引擎��,可以幫助用戶有效抵抗未知惡意軟件威脅�����。通過(guò)對(duì)海量樣本進(jìn)行監(jiān)測(cè)分析�����,能夠找到惡意軟件的內(nèi)在規(guī)律��,能對(duì)未來(lái)相當(dāng)長(zhǎng)時(shí)期的惡意軟件變種技術(shù)做出前瞻性預(yù)測(cè),實(shí)現(xiàn)針對(duì)勒索病毒變種的有效識(shí)別��。
四是通過(guò)人工智能技術(shù)構(gòu)建誘捕模型����,誘捕“惡意程序發(fā)作”。國(guó)聯(lián)易安基于AI技術(shù)��,構(gòu)建了仿真誘捕環(huán)境���,可以實(shí)現(xiàn)對(duì)可疑文件進(jìn)行高級(jí)威脅檢測(cè)��。仿真誘捕環(huán)境通過(guò)接收還原PE和非PE文件����,使用仿真環(huán)境�、動(dòng)態(tài)檢測(cè)等一系列無(wú)簽名檢測(cè)方式,發(fā)現(xiàn)傳統(tǒng)安全設(shè)備無(wú)法發(fā)現(xiàn)的復(fù)雜威脅�,并將仿真誘捕平臺(tái)上的相關(guān)告警發(fā)送至分析平臺(tái),實(shí)現(xiàn)告警統(tǒng)一管理和后續(xù)進(jìn)一步分析��。
五是通過(guò)威脅腦圖�����,顯示“直觀安全態(tài)勢(shì)”。國(guó)聯(lián)易安通過(guò)可視化技術(shù)的利用����,將原本碎片化的威脅告警、異常行為告警數(shù)據(jù)結(jié)構(gòu)化�,以便于用戶理解,從而省去了閱讀繁復(fù)報(bào)告的過(guò)程��?���?梢暬夹g(shù)的利用使得用戶可以更直觀地感受到網(wǎng)絡(luò)內(nèi)的安全形勢(shì)���,使得安全由“不可見(jiàn)變?yōu)榭梢?jiàn)”��,不但帶來(lái)了更好的用戶體驗(yàn)��,同時(shí)還有效地提高了安全監(jiān)控的效率���。
下一代勒索病毒防御系統(tǒng)達(dá)到了對(duì)所有勒索病毒及其變種的自動(dòng)識(shí)別、主動(dòng)檢測(cè)��、精準(zhǔn)定位和全面防御效果����,解決了勒索病毒“發(fā)現(xiàn)難��、防御更難”的尷尬困境和問(wèn)題����。
此前�,總部設(shè)在荷蘭海牙的歐洲刑警組織與國(guó)際刑警組織2019年10月9日共同發(fā)布《2019互聯(lián)網(wǎng)有組織犯罪威脅評(píng)估》報(bào)告認(rèn)為,全球勒索軟件犯罪總量有所下降����,但正轉(zhuǎn)向更加有利可圖的目標(biāo)且已造成更為嚴(yán)重的經(jīng)濟(jì)損失。由此可見(jiàn)�����,勒索病毒犯罪仍為作案范圍最廣��、造成經(jīng)濟(jì)損失最嚴(yán)重的網(wǎng)絡(luò)犯罪形式��。
