防勒索进入熵减时代，威努特重磅发布防勒索系统2.0

勒索攻击已然高居网络安全威胁榜首，据预测，到2031年，勒索攻击对全球企业造成的总损失将达到10万亿美元，勒索攻击造成的损失将超过自然灾害，成为现代人类社会的头号威胁之一。

勒索即服务（RaaS）使得勒索软件产业链愈发成熟，而供应链攻击等手法的应用，也使得勒索攻击愈加难以防范，今年8月，国内2000余家中小型企业，遭ERP系统供应链勒索攻击，造成了严重的数据和经济损失，为应对新型勒索攻击，改善勒索攻击造成各类严重后果的混乱局面，威努特重磅推出主机防勒索系统2.0。

熵是随机性的度量，随机度越高则熵值越高，勒索病毒为了降低被破解的可能，会采用空间较大随机度较高的密钥进行数据加密，从而导致文件熵值的显著升高；文件熵值一般介于0和8之间，值接近8表示数据非常随机，而值接近 0 则表示数据有较多冗余。

勒索病毒加密用户数据文件，必然导致熵值的升高，熵值变化和熵值大小是文件加密状态的本质特征，威努特主机防勒索系统通过检测文件信息熵，能够直接有效的发现文件加密行为，精准识别勒索病毒，极大提高勒索病毒的检出率。

为达到成功勒索的目的，勒索病毒会采用多种方式锁定或破坏系统关键资源，增加用户恢复系统或数据的难度，破坏系统资源的行为包括：加密MBR致使操作系统无法启动；修改操作系统账号密码，锁定操作系统致使用户无法登录；删除系统卷影备份，致使用户无法恢复被加密的数据。

为全面降低勒索病毒对系统的破坏，增加系统健壮性，威努特主机防勒索系统对MBR引导区、操作系统账号、系统卷影服务进行保护，避免勒索病毒对关键资源的破坏，大幅提升操作系统安全性。

勒索病毒为了躲避检测，会使用进程注入的方式发起勒索攻击，注入成功后，勒索病毒会通过系统进程执行文件遍历、文件加密、删除备份等恶意操作，系统进程承载着关键业务，无法直接干预、中断，需要事先防范。

威努特主机防勒索系统采用数字签名验证、远程线程创建禁用、DLL加载限制等方式，保护系统进程不被注入，避免勒索病毒注入系统进程对数据资源的破坏。

“供应链攻击”通过污染合法的应用分发或更新通道，在合法的表象下执行恶意非法的操作，平时完全合法的应用，如OA、ERP、IT管理软件等，陡然变成了搞破坏的“恶意软件”，以供应链攻击模式发起的勒索攻击尤为致命。

此前国内某友ERP勒索攻击事件，攻击者就是采用“升级劫持”的方式，将勒索攻击载体通过ERP官方合法渠道，投放至国内2000家企业用户，由于用户和安全产品默认信任ERP系统，不会检测/拦截ERP系统的操作行为，进而造成了大规模的数据损失。

为检测隐匿度较高的供应链勒索攻击，威努特主机防勒索系统创新应用“永不信任、始终检测”的零信任理念，完全基于行为模式及行为结果识别恶意攻击行为，任何触发行为规则的进程均予以告警或拦截，彻底杜绝基于供应链隐匿发起勒索攻击的可能性。

勒索攻击形式多样、后果严重，加之APT攻击手法的普遍应用，针对勒索病毒的单一防范手段存在被绕过的风险，以多种技术手段组合应用、相互交叉的方式对勒索病毒进行防范最为有效。

威努特主机防勒索系统新增文件信息熵检测、MBR引导程序保护、操作系统账号保护、系统卷影备份保护、系统进程防注入、勒索特征检测、“零信任”机制、集中管理中心等特性，结合静态诱捕、动态诱捕、勒索行为监测、关键业务保护、核心数据保护、数据备份恢复等功能特性，形成了多层次的纵深防范能力，覆盖了行为检测、系统保护、进程保护、数据保护、数据恢复等多种安全机制，可极大降低企业用户被勒索破坏的风险。

威努特主机防勒索系统是专防专治勒索病毒的终端安全产品，凭借着全面有效的勒索病毒防范能力以及创新的产品思路，获得了各行业客户的广泛认可，威努特主机防勒索系统已在医疗、教育、金融、制造、市政、运营商、煤矿、交通、能源、化工等诸多领域得到广泛应用，威努特防勒索新版本的推出，必将带来勒索攻击乱象的大幅改观，未来，威努特仍会密切关注勒索攻击变化趋势，创新应用先进网络安全技术，持续打磨防勒索产品，切实为广大企业用户解决勒索病毒这一难题。