奇安信勒索病毒防御方法——核心技术:检测恶意修改后自动备份+诱捕+智能文件格式分析+ML区分正常和恶意的篡改
勒索 病毒 防御 方法
1. 个人 终端 防御 技术 1) 文档 自动 备份 隔离 文档 自动 备份 隔离 技术 是 奇 安 信 提出 的 一种 勒索 病毒 防御 技术。 该 技术 在 未来 一 两 年内 或 成为 安全 软件 反 勒索 技术 的 标 配。 鉴于 勒索 病毒 一旦 攻击 成功, 被 攻击 的 文件 往往 难以 修复, 且 勒索 病毒 具有 变种 多、 更新 快、 大量 采用 免 杀 技术 等 特点, 因此, 单纯 防范 勒索 病毒 感染 并不是“ 万全之策”。 但是, 无论 勒索 病毒 采用 何种 具体 技术, 无论是 哪一 家族 的 哪一 变种, 其一 个 基本 的 共同 特点 就是 会对 文档 进行 篡改。 而 文档 篡改 行为 具有 很多 明显 的 技术 特征, 通过 监测 系统 中 是否 存在 文档 篡改 行为, 并对 可能 被 篡改 的 文档 加以 必要 的 保护, 就可 以在 相当 程度 上 帮助 用户 挽回 勒索 病毒 攻击 的 损失。 文档 自动 备份 隔离 技术 就是 这一 技术 思想 的 具体 实现, 奇 安 信 将其 应用于 文档 卫士 功能 模块 中。 只要 计算机 中的 文档 出现 被 篡改 的 情况, 该 功能 模块 就会 第一 时间 把 文档 自动 备份 在 隔离 区 并 保护 起来, 用户 可以 随时 恢复 文件。 无论 病毒 如何 变化, 只要 它有 篡改 用户 文档 的 行为, 就会 触发 文档 自动 备份 隔离, 从而 使用 户 可以 免遭 勒索, 不用 支付 赎金 也能 恢复 文件。 文档 卫士 的 自动 备份 触发 条件 主要 包括 两点: 第一, 开机 后 第一次 修改 文档; 第二, 有可 疑 程序 篡改 文档。 当 出现 上述 两种 情况 时, 文档 卫士 会 默认 备份 包括 Word、 Excel、 PowerPoint、 PDF 等 格式 在内 的 文件, 并在 备份 成功 后 出现 提示 信息。 用户 还可 以在 设置 中选 择 添加添加 更多 需要 备份 的 文件 格式, 如 用户 计算机 中的 照片 非常 重要, 就可以 将 JPG 等 图片 格式 加入 保护 范围。 此外, 文档 卫士 还 集合 了“ 文件 解密” 功能, 安全 专家 可 对 一些 勒索 病毒 家族 进行 逆向 分析, 实现 多种 类型 的 文件 解密, 如 2017 年 出现 的“ 纵情 文件 修复 敲诈者 病毒” 等。 若 用户 的 计算机 不慎“ 中 招”, 则 可尝 试 通过“ 文档 解密” 功能 一键 扫描 并 恢复 被 加密 的 文件。 2) 综合性 反 勒索 病毒 技术 与 一般 的 病毒 和 木马 相比, 勒索 病毒 的 代码 特征 和 攻击 行为 都有 很大 不同, 采用 任何 单一 防范 技术 都是 不可 靠的。 因此, 综合 运用 各种 新型 安全 技术 来 防范 勒索 病毒 攻击, 已经 成为 趋势, 如 可使用 智能 诱捕、 行为 追踪、 智能 文件 格式 分析、 数据 流 分析 技术 等。
智能 诱捕 技术 是 捕获 勒索 病毒 的 利器, 具体 方法 是: 防护 软件 在 计算机 系统 的 各处 设置 陷阱 文件; 当 有病 毒 试图 加密 文件 时, 就会 首先 命中 设置 的 陷阱, 从而 暴露 其 攻击 行为。 这样, 安全 软件 就可以 快速 无损 地 发现 各类 试图 加密 或 破坏 文件 的 恶意 程序。 行为 追踪 技术 是 云 安全 与 大数 据 技术 综合 运用 的 一种 安全 技术。 基于 奇 安 信 的 云 安全 主动 防御 体系, 通过 对 程序 行为 的 多维 度 智能 分析, 安全 软件 可以 对 可疑 的 文件 操作 进行 备份 或 内容 检测, 一旦 发现 恶意 修改, 就 立即 阻断 并 恢复 文件 内容。 该 技术 主要 用于 拦截 各类 文件 加密 和 破坏性 攻击, 能够 主动 防御 新出现 的 勒索 病毒。 智能 文件 格式 分析 技术 是一 种 防护 加速 技术, 目的 是 尽可能 地 降低 反 勒索 功能 对 用户 体验 造成 的 影响。 实际上, 几乎 所 有的 反 勒索 技术 都会 或多或少 地 增加 安全 软件 和 计算机 系统 的 负担, 相关 技术 是否 实用 的 关键 就在于 其是 否 能够 尽可能 地 降低 对 系统性 能 的 影响, 提升 用户 体验。 奇 安 信 研发 的 智能 文件 格式 分析 技术, 可以 快速 识别 数十 种 常用 文档 格式, 精 准 识别 对 文件 内容 的 破坏性 操作, 且 基本 不会 影响 正常 文件 操作, 在 确保 数据 安全 的 同时 又不 影响 用户 体验。 数据 流 分析 技术 是 一种 将 人工智能 技术 与 安全 防护 技术 结合 使用 的 新型 文档 安全 保护 技术。 首先, 基于 机器 学习 的 方法, 我们 可以 在 计算机 内部 的 数据 流 层面, 分析 出 勒索 病毒 对 文档 的 读/ 写 操作 与 正常 使用 文档 情况下 的 读/ 写 操作 的 区别, 而这 些 区别 可以 用于 识别 勒索 病毒 的 攻击 行为, 从而 可以 在“ 第一 现场” 捕获 和 过滤 勒索 病毒, 避免 勒索 病毒 的 读/ 写 操作 实际 作用于 相关 文档, 从而 实现 文档 的 有效 保护。
2. 企业 级 终端 防御 技术 1) 云端 免疫 技术 在 机构、 企业 中, 系统 未 打 补丁 或 补丁 更新 不 及时 的 情况 普遍存在。 这 并非 是 简单 的 安全 意识 问题, 而是 由于 多种 客观 因素 限制 了 机构、 企业 对 系统 设备 进行 补丁 管理。 因此, 对 无补 丁 系统 或 补丁 更新 较慢 的 系统 的 安全 防护 需求, 就成 为 一种“ 强 需求”。 而 云端 免疫 技术 就是 解决 此类 问题 的 有效 方法 之一。 所谓 云端 免疫, 实际上 就是 通过 终端 安全 管理 系统, 由 云端 直接 下发 免疫 策略 或 补丁, 帮助 用户 进行 防护 或 打 补丁。 对于 无法 打 补丁 的 计算机 终端, 免疫 工具 下发 的 免疫 策略 本身 也 具有 较强 的 定向 防护 能力, 可以 阻止 特定 病毒 的 入侵。 除此之外, 在 云端 还可以 直接 升级 本地 的 免疫 库 或 免疫 工具, 保护 用户 的 计算机 安全。 需要 说明 的 是, 云端 免疫 技术 只是 一种 折中 的 解决 方案, 并不是 万能 的 或 一劳永逸 的, 未 打 补丁 的 系统 的 安全性 仍然 比 打了 补丁 的 系统 的 安全 性弱。 但 就 当前 国内 众多 机构、 企业 的 实际 网络 环境 而言, 云端 免疫 不失为 一种 相对 有效 的 解决 方案。 2) 密码 保护 技术 针对 中小企业 网络 服务器 实施 攻击 是 2017 年 勒索 病毒 攻击 的 一大 特点。 而 攻击者 之所以 能够 渗透 到 企业 服务器 内部, 绝大多数 情况 是因为 管理员 设置 的 密码 为 弱 密码 或 账号、 密码 被盗。 因此, 加强 登录 密码 的 安全 管理 也是 一种 必 要的 反 勒索 技术。
奇安信安服团队 网络安全应急响应技术实战指南
