怕被勒索病毒入侵？试试创宇勒索病毒解决方案吧！

2022年8月29日，国内某财务软件系统爆出任意文件上传漏洞，未经身份认证的攻击者利用该漏洞，通过绕过系统鉴权，在特定配置环境下可实现任意文件的上传，从而执行任意代码，获得服务器控制权限。目前，已有用户被不法分子利用该漏洞进行勒索病毒攻击。

针对该安全事件，创宇安全产品，包括创宇云图、创宇云影可分别从流量侧和端侧全面支持本次事件中涉及的勒索病毒检测和防护。

勒索病毒原理及特点：

创宇云图-勒索病毒检测方案

创宇云图威胁检测系统，以旁路形式部署在被检测网络的交换机或防火墙处，将网络中所有流量镜像至云图威胁检测系统并通过文件还原引擎，根据用户需求对限定文件进行威胁行为分析。

通过特征值扫描、基因检测技术、实时行为分析、大数据关联等技术，对流量进行实时检测和报告呈现，有效避免未知威胁攻击的迅速扩散，减少企业损失。

创宇云图威胁检测系统针对勒索软件的检测方式主要分为：杀毒软件、智能沙箱、情报、文件基因图谱、网络行为、特征捕获等检测引擎，全方位检测勒索病毒活动，弥补传统单点检测能力不足的问题。

主要检测手段检测原理：

邮件威胁检测：

系统会针对邮件文本内容（超链接、山寨域名等）、附件进行检测，第一时间检测和发现包含勒索软件的钓鱼邮件和邮件中的可疑附件。

杀毒软件静态匹配：

系统内置Kaspersky、ClamAV、Avast、Avira、BitDefender等多个国内外知名检测引擎，并且提供及时的更新服务，对于公开的勒索软件的传播和下载，可以通过样本md5比对的方式，第一时间捕获到勒索软件的传播。

沙箱动态检测：

通过邮件或网络途径方式下载的文件会被引擎还原，通过沙箱对其进行“网络行为、静态检测、启发式检测（Yara规则）、行为汇总” 分析，并给出该样本的详细分析报告。

基因图谱检测：

部分勒索软件家族为了规避检测会不断变种，往往这种软件会基于原始程序在代码层做一些免杀和检测规避手段，使得常规沙箱和杀软难以识别和研判，这时候可以通过创宇云图威胁检测系统的基因图谱功能进行检测。

特征检测：

通过特征规则对样本的网络活动行为，DGA请求，加密文件传输，隐蔽索道等行为进行特征检测，达到勒索软件的检测效果。

最终通过Killchain杀伤链模型进行交叉关联并汇聚，形成一份完整的检测及溯源方案。从而在勒索软件传播、潜伏、横向扩散等阶段进行预警，提早发现威胁，帮助企业及时发现降低损失。

创宇云影-勒索病毒防护方案

创宇云影-知道创宇基于多年一线攻防经验，结合勒索软件的系列特征，推出了创宇云影主机安全防护系统（以下简称“创宇云影”）。

基于“提前设防、防治结合”的思路，创宇云影内置了大量勒索软件行为模型，通过实时观察每个系统进程或线程的执行情况，了解应用、程序和进程的执行行为，监控所有可疑软件的有限执行，包括无文件型勒索软件，快速发现勒索行为，并且通过文件回滚技术，保存和保护数据文件的影子副本，允许客户从勒索软件感染中进行恢复，为企业内网主机安全保驾护航。

创宇云影通过实时观察每个系统进程或线程的执行情况。通过实时了解应用、程序和进程的执行行为，创宇云影可以提供先进的防勒索软件保护。

创宇云影防护机制：

（1）行为分析

创宇云影内置行为分析引擎，实时侦测各种进程相关行为动作，然后通过针对勒索软件的特有行为特征模型来检测并判断该进程是否属于勒索软件。

（2）陷阱诱捕

创宇云影可以通过自动或手动设置高仿真的重要文件及文件夹做为陷阱，然后通过监控陷阱文件变化来捕获勒索软件访问和加密文件的行为。

由于勒索软件必然会通过在系统中遍历文件来确认加密对象，而加密文件时又必然会更改文件内容或删除文件，因此只要勒索软件触碰到陷阱文件，即可实现对勒索软件的诱捕。因此不仅可以防御已知的勒索软件，也能防御未知的勒索软件。

（3）实时备份

用户可自定义需要实时的文件类型，同时可以设定时间维度和空间维度的限值，避免过多占用磁盘空间。即使发生未能防御的勒索事故，也能随时恢复出重要文件。

创宇云影对于备份文件的放置区域，进行严格的访问限制，仅允许自身对其进行读写来进行备份或恢复，从而防止备份文件同时被破坏。

创宇云影防御机制：MBR保护

近期出现类似于Petya的勒索软件，其目标并非逐个加密单个文件，而是破坏MBR，加密磁盘MFT，并且，使得用户无法进入系统。