如何检测勒索软件攻击

什么是勒索软件

勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击方法以及中毒方式。

  • 攻击方法:攻击它采用技术手段限制受害者访问系统或系统内的数据(如文档、邮件、数据库、源代码等),并以此要挟受害者。受害者需要支付一定数量的赎金,才有可能重新取得数据控制权,以此来达到勒索的目的。
  • 中毒方式:勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。

任何组织和个人都可能成为勒索软件攻击的目标,网络犯罪分子可能无差别攻击,也可能针对更有价值的组织,如政府机构、医院等更有意愿支付赎金的组织,拥有敏感数据的机构。勒索软件不仅影响组织的正常运行,导致业务停滞或中断,还可能会泄露商业秘密,影响企业形象。

勒索软件的类型

根据勒索软件所使用的勒索方式,主要分为以下三类:

  • 影响用户系统的正常使用:比如 PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等,会采用锁定系统屏幕等方式,迫使系统用户付款,以换取对系统的正常使用。
  • 恐吓用户:比如 FakeAV(Trojan[Ransom]/Win32.FakeAV)等,会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买其“反病毒软件”。又如Reveton(Trojan[Ransom]/Win32.Foreign),会根据用户所处地域不同而伪装成用户所在地的执法机构,声称用户触犯法律,迫使用户支付赎金。
  • 绑架用户数据:这是近期比较常见的一种勒索方式,最典型的是CTB-Locker家族(Trojan[Ransom]/Win32.CTBLocker),采用高强度的加密算法,加密用户文档,只有在用户支付赎金后,才提供解密文档的方法 。

在这里插入图片描述

勒索软件检测工具的优势

使用 DataSecurity Plus 的勒索软件检测和响应功能,发现并遏制勒索软件攻击。

  • 检测勒索软件指标
  • 应对攻击

检测勒索软件指标

  • 检测勒索软件入侵:在勒索软件攻击开始时检测它,审核文件服务器是否存在文件重命名和删除事件的突然激增,这通常是勒索软件攻击的前奏。
  • 接收即时通知:通过设置实时警报和威胁响应来确定勒索软件检测的优先级,一旦发生可疑文件更改,立即收到通知。
  • 阻止勒索软件的传播:快速阻止勒索软件感染滚雪球般地演变成大规模数据泄露,关闭受感染的设备以隔离它们并减轻损害。

应对攻击

  • 隔离损坏的设备:通过使用自动化的预定义威胁响应机制,将勒索软件攻击的影响降至最低,断开受感染用户帐户的会话,以阻止勒索软件的进一步传播。
  • 识别勒索软件损坏的文件:使用内置威胁库发现已知勒索软件变种(如 Petya、Locky 等)的攻击,通过永久删除这些勒索软件加密文件来保护您的数据。
  • 保留数据以供调查:生成审计跟踪,以促进调查并保存法律证据,保留和分析审计数据,以预测和阻止未来的威胁。

防范勒索软件的最佳实践

  • 备份文件:处理勒索软件攻击的最有效方法是使用 3-2-1 备份规则,在两种不同的存储类型上保留至少三个不同版本的数据,至少有一个异地。
  • 培训最终用户:定期培训员工如何识别和避免常见的勒索软件陷阱,例如恶意广告、网络钓鱼电子邮件等。
  • 修补漏洞:通过定期更新操作系统、浏览器和其他应用程序中的漏洞来减少它们。
  • 使用入侵检测系统:使用持续监控实时检测异常或恶意活动的迹象,在早期阶段切断勒索软件攻击。
  • 使用电子邮件过滤:阻止恶意可执行文件、垃圾邮件、网络钓鱼电子邮件和已知勒索软件使用的其他方法。
  • 将应用程序列入白名单:将可接受的软件添加到白名单中,并阻止未经授权的程序运行。
  • 提供尽可能少的特权:使用强大的访问管理来限制不必要的访问,并减少恶意软件进入组织的访问点数量。
  • 逻辑上独立的网络:通过根据任务或部门分离网络,在发生勒索软件攻击时减少数据丢失。

如何检测勒索软件

在短时间内多次修改文件和加密证据是勒索软件的两个明显迹象。使用一些简单的模式,DataSecurity Plus可以及早检测到这些勒索软件的迹象,并在攻击发生时识别它们。可以按照以下步骤配置自动威胁响应机制,以便在勒索软件攻击开始时立即关闭任何勒索软件攻击。

1、运行数据安全Plus导航到“警报”选项卡

2、单击页面右上角的新建警报配置文件。

3、命名警报配置文件并包含适当的描述(例如,“潜在的勒索软件攻击”)。

4、在严重性选项卡中,选择严重。

5、打开阈值限制部分并指定要监控的事件数(例如,“一分钟内修改 100 次文件”)*。

6、导航到条件部分,并在选项卡下添加以下筛选器:

  • 行动:创建、修改、重命名和文件扩展名更改
  • 监控:All
  • 显示器类型:文件和文件夹
  • 文件类型:All
  • 用户:All

7、使用“排除”选项卡可忽略单个文件、组织特定的文件类型和文件夹,以进行选择性监视并防止误报检测。并减少误报。

8、导航到电子邮件通知并指定要向其发送警报的一个或多个电子邮件地址。将电子邮件优先级设置为高。

9、在“执行命令”文本框中,运行默认脚本(例如,“{install_location} \bin \alertScripts \triggershutdown.bat %server_name%”),以关闭受感染的系统。

注意:您还可以执行禁用用户帐户、禁用网络的其他脚本,或者根据组织需求定制的自己的脚本之一。

10、要保存配置的警报,请单击保存。

现在,已成功将 DataSecurity Plus 配置为检测并响应在一分钟内检测到 100 多个文件事件(如创建、修改和重命名)的方案。

*阈值限制将根据服务器大小、用户数量和使用级别而有所不同。

勒索软件检测工具问题解答

Q:当检测到勒索软件攻击时,可以自动断开用户的会话吗?

A:DataSecurity Plus允许执行自己的脚本以执行根据组织需求定制的操作(例如,断开用户会话,锁定用户帐户或关闭系统)。

Q:可以检测到未来的勒索软件攻击吗?

A:DataSecurity Plus可以及时识别所有勒索软件攻击并生成基于阈值的告警,这些告警在定义的时间跨度内发生一定数量的受监控事件时触发。

Q:可以阻止像WannaCry和Petya这样的已知勒索软件感染整个网络吗?

A:许多勒索软件变体在加密数据时使用特定的文件扩展名,DataSecurity Plus使用这些恶意文件扩展来识别已知的勒索软件变体并立即阻止它们。

Q:如果勒索软件感染了网络,可以确定攻击的起始位置吗?

A:DataSecurity Plus能识别攻击开始的机器的客户端IP,可以使用此信息和其他信息执行根本原因分析。

Q:刚刚提醒已检测到可能的勒索软件活动,该怎么办?

A:如果是这种情况,那么DataSecurity Plus应该已经关闭了可能受感染的系统。从这里开始,您应该分析审计数据,以确定它是哪种勒索软件变体,并从那里开始规划您的策略。

DataSecurity Plus数据可见性和数据泄漏防护组件,可帮助企业抵御内部威胁、防止数据丢失并满足合规性要求。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/113926.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

unity 之 如何获取父物体与子物体

文章目录 获取父物体获取子物体 获取父物体 在Unity中,你可以使用Transform组件的属性来获取对象的父物体。以下是在C#脚本中如何获取父物体的示例代码: using UnityEngine;public class GetParentExample : MonoBehaviour {void Start(){// 获取当前物…

三、mycat分库分表

第五章 分库分表 一个数据库由很多表的构成,每个表对应着不同的业务,垂直切分是指按照业 务将表进行分类,分布到不同 的数据库上面,这样也就将数据或者说压力分担到不同 的库上面,如下图: 系统被切分成了&…

解决抖音semi-ui的Input无法获取到onChange事件

最近在使用semi-ui框架的Input实现一个上传文件功能时遇到了坑&#xff0c;就是无法获取到onChange事件&#xff0c;通过console查看只是拿到了一个文件名。但若是把<Input>换成原生的<input>&#xff0c;就可以正常获取到事件。仔细看了下官方文档&#xff0c;发现…

巨人互动|游戏出海游戏出海的趋势如何

随着全球游戏市场的不断扩大和消费者需求的多元化&#xff0c;游戏出海作为游戏行业的重要战略之一&#xff0c;正面临着新的发展趋势。本文小编将讲讲游戏出海的趋势&#xff0c;探讨一下未来游戏出海的发展方向与前景。 巨人互动|游戏出海&2023国内游戏厂商加快“出海”发…

高效利用隧道代理实现无阻塞数据采集

在当今信息时代&#xff0c;大量的有价值数据分散于各个网站和平台。然而&#xff0c;许多网站对爬虫程序进行限制或封禁&#xff0c;使得传统方式下的数据采集变得困难重重。本文将向您介绍如何通过使用隧道代理来解决这一问题&#xff0c;并帮助您成为一名高效、顺畅的数据采…

postgresql类型转换函数

postgresql类型转换函数 简介CAST 函数to_date 函数to_timestamp 函数to_char 函数to_number 函数隐式类型转换 简介 类型转换函数用于将数据从一种类型转换为另一种类型。 CAST 函数 CAST ( expr AS data_type )函数用于将 expr 转换为 data_type 数据类型&#xff1b;Post…

SpringBoot—日志

目录 日志使用日志日志级别设置日志级别设置分组指定日志文件路径日志切割归档使用第三方日志框架log4j2配置文件【分级存储】logback配置文件【分级存储】 实例代码 日志 使用日志 给controller添加日志信息 要给controller类上添加Slf4j注解&#xff0c;然后使用log.info(…

根据身高重建队列【贪心算法】

根据身高重建队列 假设有打乱顺序的一群人站成一个队列&#xff0c;数组 people 表示队列中一些人的属性&#xff08;不一定按顺序&#xff09;。每个 people[i] [hi, ki] 表示第 i 个人的身高为 hi &#xff0c;前面 正好 有 ki 个身高大于或等于 hi 的人。 请你重新构造并返…

公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过

一次惨痛的教训&#xff1a;被pnscan病毒攻击的经过&#xff08;公网中Linux系统下Redis使用注意事项&#xff09; 0.案发情况pnscan病毒感染惨状&#xff1a;>>提示<< 1.案发原因2.排查过程简单排查之后&#xff0c;发现啥都做不了。先百度到了如下文章&#xff1…

卡尔曼滤波

第一章知识点回顾 表1变量符号对照表 1.1数学期望 数学期望表示为每次可能的结果乘上结果概率的总和。 1.1.1 数学期望的性质 假设常数为 C &#xff0c;随机变量 X 和 Y &#xff0c;则 1.2 方差&#xff08;variance&#xff09; 概率论中和统计中的方差反映单个&…

本地电脑搭建Plex私人影音云盘教程,内网穿透实现远程访问

文章目录 1.前言2. Plex网站搭建2.1 Plex下载和安装2.2 Plex网页测试2.3 cpolar的安装和注册 3. 本地网页发布3.1 Cpolar云端设置3.2 Cpolar本地设置 4. 公网访问测试5. 结语6 总结 1.前言 用手机或者平板电脑看视频&#xff0c;已经算是生活中稀松平常的场景了&#xff0c;特…

目标检测笔记(十二):如何通过界面化操作YOLOv5完成数据集的自动标注

文章目录 一、意义二、修改源码获取三、自动标注前期准备四、开始自动标注五、可视化标注效果六、XML转换TXT 一、意义 通过界面化操作YOLOv5完成数据集的自动标注的意义在于简化数据标注的流程&#xff0c;提高标注的效率和准确性。 传统的数据集标注通常需要手动绘制边界框…

C语言每日一练-------Day(9)

本专栏为c语言练习专栏&#xff0c;适合刚刚学完c语言的初学者。本专栏每天会不定时更新&#xff0c;通过每天练习&#xff0c;进一步对c语言的重难点知识进行更深入的学习。 今日练习题关键字&#xff1a;字符个数统计 多数元素 投票法 &#x1f493;博主csdn个人主页&#xf…

【Centos8_配置单节点伪分布式Spark环境】

安装centos8 jdk部署伪分布式spark环境 安装Centos8 环境下的JDK 下载jdk linux版本 下载链接&#xff1a; jdk-8u381-linux-x64.tar.gz 将该文件上传到Centos8 主机 部署配置jdk&#xff08;java8&#xff09; # 解压到指定路径 [lhangtigerkeen Downloads]$ sudo tar …

redis 应用 4: HyperLogLog

我们先思考一个常见的业务问题&#xff1a;如果你负责开发维护一个大型的网站&#xff0c;有一天老板找产品经理要网站每个网页每天的 UV 数据&#xff0c;然后让你来开发这个统计模块&#xff0c;你会如何实现&#xff1f; img 如果统计 PV 那非常好办&#xff0c;给每个网页一…

day-05 TCP半关闭 ----- DNS ----- 套接字的选项

一、优雅的断开套接字连接 之前套接字的断开都是单方面的。 &#xff08;一&#xff09;基于TCP的半关闭 Linux的close函数和windows的closesocket函数意味着完全断开连接。完全断开不仅不能发送数据&#xff0c;从而也不能接收数据。在某些情况下&#xff0c;通信双方的某一方…

『PyQt5-Qt Designer篇』| 06 Qt Designer中水平布局和垂直布局的使用

06 Qt Designer中水平布局和垂直布局的使用 1 水平布局1.1 按钮布局1.2 位置移动1.3 先布局再放按钮1.4 保存文件并调用2 垂直布局2.1 按钮布局2.2 保存并调用1 水平布局 1.1 按钮布局 拖动几个按钮: 选中这几个按钮,右键-布局-水平布局: 可以看到按钮间隔等宽水平排列: 也…

软考:中级软件设计师:信息系统的安全属性,对称加密和非对称加密,信息摘要,数字签名技术,数字信封与PGP

软考&#xff1a;中级软件设计师:信息系统的安全属性 提示&#xff1a;系列被面试官问的问题&#xff0c;我自己当时不会&#xff0c;所以下来自己复盘一下&#xff0c;认真学习和总结&#xff0c;以应对未来更多的可能性 关于互联网大厂的笔试面试&#xff0c;都是需要细心准…

图床项目进度(二)——动态酷炫首页

前言&#xff1a; 前面的文章我不是说我简单copy了站友的一个登录页吗&#xff0c;我感觉还是太单调了&#xff0c;想加一个好看的背景。 但是我前端的水平哪里够啊&#xff0c;于是在网上找了找制作动态背景的插件。 效果如下图。 如何使用 这个插件是particles.js 安装…

螺线管线圈的用途是什么

螺线管线圈是一种电子元器件&#xff0c;通常用于电感器和变压器。螺线管线圈可以是单层的或多层的&#xff0c;并且可以根据特定的电气参数进行设计。它们被广泛应用于电子设备和通信系统中&#xff0c;以满足各种应用的要求。 螺线管线圈主要用于电感器和变压器。电感器是一种…