2017年5月12日,一个名为“WannaCry”的勒索病毒在全球攻城掠地,150多个国家几十万台电脑接连被“薅羊毛”。安全人员像救火一样研究病毒样本、提醒用户尽快修补漏洞,试图止住蔓延的趋势。
然而时至今日,勒索病毒依然屡杀不绝,本文的主角——某大型生产企业,不久之前刚与勒索病毒展开了多次较量。
01 病毒来了
这家位于西南地区的企业集团,是集研发、教学、生产、销售为一体的大型生产制造商,曾先后获得“国家级高新技术企业”、“中国驰名商标”等荣誉称号。
近年来,随着企业迅速发展,为保障业务能持续稳固、安全和高效地运行,该企业先后购置了下一代防火墙、防病毒软件等安全产品,建立起日臻完善的“安全边界防护体系”。
然而,2018年9月某日凌晨,随着不知名的黑客入侵,企业生产系统的服务器被勒索加密,造成若干业务线停止运转,以往的所有安全投入瞬间一文不值,稳若磐石的安全现状被彻底打破了。
不同于传统计算机病毒,中了病毒后采用重启服务器等方式就能恢复。勒索病毒被业界称之为“数字绑票”,一旦被它“缠身”,就如同给企业挂上了定时炸弹。更严重的是,企业局域网里若有一台服务器被入侵控制后,黑客通常会在内网扫描入侵更多机器,造成大面积的病毒感染。
争分夺秒。该企业第一时间重视了该病毒,并连夜组织安全工程师进行排查,所幸,此次被勒索的数据库在备份期间被加密,业务系统并未大规模感染。于是,企业通过解密方式找回“未成功备份但被勒索”的文件。
02 余波未平,第二次绝命来袭
一夜之间,勒索病毒凶猛袭击过的战乱现场让该企业心有余悸。
谁都无法预知是否会再次发生二次感染、三次感染。谁也不敢想象,下一个勒索病毒再次到来时,一旦出现“一台感染,一片崩溃”的局面,大量的解密成本以及业务瘫痪、数据泄漏造成的严重后果。
“不能再次在阴沟里翻船”,这是摆在企业面前最重要的问题!于是,经过多方考量和筛选,该企业选择美创诺亚防勒索系统,通过“后台管理中心+前端代理”的部署方式,重点保护办公OA、订单管理等部分业务系统。
如图所示:其中,后台管理中心部署在该企业数据中心的服务器上,设置固定IP地址,保证能与终端客户端联网访问;在被保护业务服务器上部署诺亚防勒索系统前端代理客户端。
众所周知,自勒索软件被发现以来,一直难以有效的阻止和防范,诺亚防勒索系统真的能够有效防御勒索病毒的攻击?这在企业部分高层心中留下了疑问。
而就在一周后,勒索病毒再次到访,与诺亚防勒索来了场狭路相逢。
客户发现装了诺亚防勒索系统的服务器正常运行,中招的恰恰是那些没有安装诺亚防勒索的服务器。其中,财务PC被勒索,导致当月发薪日员工工资无法进行核算及发放,大量报销等财务表格无法使用。同时数据中心服务器被加密,关键数据面临丢失的风险。
03 全面部署,与勒索病毒说不
在回溯整个与勒索病毒的较量中,美创诺亚防勒索系统完美应对第二次勒索攻击的考验,这让客户彻底打消了之前顾虑,并连夜将剩余的服务器装上“诺亚防勒索”产品,全面防范勒索病毒攻击,从而实现:
1. 主动防护已知和未知的勒索病毒,全面防范勒索病毒攻击,确保信息系统的高可用和数据安全性。
2. 保护Oracle,SQL Server,MySQL,DB2等关键数据库系统在受到勒索病毒入侵时,依然保持正常运转,在极端情况下最底限保证数据不被破坏,数据不丢失。
3. 统一的策略,安全管控各主机,无需额外增加安全管理和人力成本,大大节省了管理上所需花费的开销。
4. 健全安全风险防护机制和积极响应机制,未雨绸缪,提高网络健壮性和抗攻击能力。
“勒索病毒出现的概率还会存在,甚至持续升级,没有哪一家企业能‘独善其身’。不过,诺亚防勒索对未知病毒防御和诱捕,以及优秀的带毒生存能力,至少不会让我们过于担心。 ”
一家医疗行业CIO这样表示道 。
关于诺亚防勒索:选择我,绝非偶然
无数次的事件证明,传统杀毒软件往往对勒索病毒束手无策。这是因为传统杀毒软件依赖于黑名单方式,只有当能够侦测并捕获到勒索软件疫情并将其加入黑名单后,才能有效地拦截病毒。然而:
目前,已知勒索病毒库种类并不全,且本地特征库升级远远落后病毒的更新速度,无法实现病毒100%的匹配,未匹配的病毒依然可以执行;
传统防毒软件或采用引擎分析技术对恶意软件进行分析,但挖矿病毒与勒索软件往往非常隐蔽、具有针对性、无明显破坏特征,当防毒引擎分析发现之时往往已经对系统文件进行了加密。
美创科技通过大量勒索病毒分析,推出专门针对勒索病毒的安全防护产品“诺亚”防勒索系统,对无论是办公电脑上的类型化文档(*docx、*xlsx等),还是服务器上的数据库文件,以及哑终端(ATM、加油站等),都可以彻底的摆脱勒索病毒的困扰。
诺亚防勒索系统采用独特的底层白名单技术,对文档、数据库文件进行主动防护,确保只有被允许的合法操作才能被执行,一切未被允许的操作都被禁止,避免勒索病毒对文件的加密和修改。即使业务系统未及时安装补丁,也可防止漏洞被利用进行勒索加密。这样即使有新的勒索病毒出现,诺亚防勒索系统也可以全面无忧的防范新病毒的攻击,从根本上对勒索病毒说不。
