安全微課堂
當前位置: 首頁 > 新聞中心 > 安全微課堂 > 明朝萬達推出Chinasec(安元)數據安全保镖 全方位防護勒索病毒 返回
明朝萬達推出Chinasec(安元)數據安全保镖 全方位防護勒索病毒
發布時間:2017-11-14 打印 字號: 大 中 小

2017年5月WannaCry 勒索病毒在全球範圍內大面積肆虐,該病毒利用 NSA 黑客工具包中的“永恒之藍”0day 漏洞,通過445端口(文件共享)在內網進行蠕蟲式感染傳播,百余個國家的網絡和重要數據遭到破壞。國內同樣出現了大量感染該病毒的 IP ,保守估計超過30萬台終端和服務器受到感染,幾乎覆蓋了全國所有地區。



2017年6月在 WannaCry 勒索病毒陰霾還未完全消散時,一個名爲 Petya 的最新勒索病毒再度肆虐全球。

 

2017年10月新型變種勒索病毒 BadRabbit 來襲。



針對勒索類病毒,國內外網絡信息安全公司陸續提出多種解決方案。目前方案可以分爲三類:


病毒預警,病毒查殺:

此類解決方案以勒索病毒的預警、查殺爲核心思路,防止終端電腦感染勒索病毒。此思路的優勢是針對已知的病毒可以進行最有效的預防和阻斷。缺點是針對未知的病毒,缺乏相應的防護能力。

 

文檔備份,文檔恢複:

此類解決方案的核心是針對重要文件進行備份防護,以及針對已經被勒索病毒感染的文件嘗試解密恢複。不論是文檔的備份還是解密受感染的文件,此思路都屬于事後處理,難以彌補病毒造成的危害。

 

主動防禦,徹底阻斷:

此類解決方案的立意是徹底阻斷 WannaCry 這一類勒索病毒對文檔造成的破壞性危害,不論病毒如何變異,以及不需要對文件進行大批量的備份操作,就能避免勒索病毒造成的影響。

 

明朝萬達解決方案:勒索病毒防護--Chinasec(安元)數據安全保镖

 

基于“主動防禦,徹底阻斷”的思路,北京明朝萬達科技股份有限公司經過深入分析病毒運作機制,結合國內當前實際現狀,推出了針對性的勒索病毒防護産品——Chinasec(安元)數據安全保镖。 

 

通過分析病毒本身的執行過程得知,勒索病毒對文件進行加密的前提是必須擁有文件的編輯權限。對于文件的編輯權限,windows 提供了兩層管理機制:第一層是基于windows 用戶的管理,鑒于目前終端基本都是最高權限,病毒可以直接利用此權限進行破壞;第二層是進程對文件的權限,當進程對文件進行操作時,我們可以對其操作權限進行控制。基于此原理,數據安全保镖産品將重要路徑下的文件與合法進程綁定,只有合法進程才能夠擁有文件的所有操作權限,非法進程無法對目標文件進行編輯,繼而達到防止勒索病毒進程對文件進行破壞的目的。

 

産品特性


主動防禦機制:

産品基于勒索軟件對文件的操作行爲出發,摒棄傳統針對病毒特征繁瑣的偵測判定方法,禁止了一切可疑進程對文件的操作,無論是已知病毒或是未知病毒,都無法對文件造成損害。

 

防護效果無關文件類型:

産品基于針對防護路徑做有效防護,而無關路徑下的文件格式。對于特殊的文件格式,無需進行針對性的適配。

 

操作便捷:

無需關閉端口、頻繁打補丁以及改變防火牆參數,通過簡單的策略設置便可達到防禦效果。

 

功能介紹


定義防護路徑:

産品支持將本地的一條或多條重要路徑設置爲被保護路徑,也可以將需要保護的文件放到防護路徑中,可以控制防護路徑的啓停用。

 

定義合法進程:  

本産品對于進程白名單的定義提供自動和手動兩種機制。自動定義是指系統自動識別當前電腦上運行了所有的已知合法應用,並批量添加到進程白名單中。手動定義是對自動定義的補充和調整,當自動定義的進程中含有過多冗余或者某個合法進程沒有啓動的時候,可以通過手動的方式進行刪除或者新增。

 

防護效果:

用戶對防護路徑和進程白名單設置完成後,白名單中的進程擁有對已啓動的防護路徑下文件的所有操作權限;非白名單進程擁有防護路徑下文件的讀權限,無其他權限。 勒索病毒進程即使訪問路徑下文件,由于沒有文件的操作權限,也不會導致文件被非法加密的後果,從而達到防勒索病毒的目的。

 

日志記錄:

通過日志審計展示可疑進程訪問防護路徑文件的記錄,可以將其中的可信進程添加到進程白名單。

 

明朝萬達將憑借技術優勢,繼續深化數據安全垂直解決方案,深耕數據安全在公安等各行業及業務領域的應用,形成以數據爲中心的産業鏈閉環。





400-650-8968