查看勒索病毒防护
前提条件
已购买主机安全版本为旗舰版或网页防篡改版。
约束限制
- 开启勒索病毒防护时,需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份,遭受攻击后较大概率无法恢复业务。
- 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。
- 按需计费模式下,不支持勒索病毒防护。
勒索病毒防护概览
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、在导航树选择“主动防御 > 勒索病毒防护”,查看勒索防护详情,参数说明如表所示。
勒索病毒概览
勒索病毒概览参数
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 时间范围 | 选择目标时间周期查看勒索病毒防护的检测情况和统计数据。 取值范围 :“最近24小时”、“最近3天”、“最近7天”、“最近30天”。 | “最近30天” |
| 防护统计 | 已防护服务器 | 已开启勒索病毒防护的服务器总数。 |
| 防护事件 | 所选时间范围内勒索病毒防护检测发现的事件总数。 | - |
| 备份统计 | 已备份服务器 | 已备份数据的服务器数量。 |
| 备份恢复任务 | 服务器数据恢复的任务数量,单击数量值可查看所有任务进度详情。 | - |
| 已使用容量/总容量 | 备份数据的使用容量和总容量。 | - |
| 备份策略 | 备份规则和保留规则详情,同时可修改备份策略。 | - |
| 防护服务器 | 服务器名称/ID | 服务器的名称和ID,单击服务器名称可查看服务的详情。 |
| IP地址 | 防护服务器的弹性公网IP和私有IP。 | - |
| 操作系统 | 服务器所属的操作系统。 | Linux |
| 服务器状态 | 服务器当前状态。 运行中 、关机 |
- |
| 勒索防护状态 | 目标服务器的勒索防护状态。 开启中:目标服务器正在开启勒索防护。 已开启:目标服务器已开启勒索防护。 关闭中:目标服务器勒索防护正在关闭。 未开启:目标服务器未开启勒索防护,单击“立即开启”可开启勒索防护。 |
已开启 |
| 防护策略 | 该服务器使用的防护策略名称。 | - |
| 防护事件 | 所选时间范围内已检测防护到的事件数量。 | - |
| 备份功能 | 显示开启或关闭防护中的服务器数据备份状态。 已开启:已开启目标服务器全量数据自动备份。 未开启:未开启目标服务器全量数据自动备份,单击“立即开启”可开启备份。 |
已开启 |
| 已有备份数 | 存储库已经产生备份数量。 | 18 |
| 防护策略 | 防护策略名称 | 防护策略的名称。 |
| 防护动作 | 策略的防护机制。 告警:发现病毒,仅产生告警事件。 告警并自动隔离:发现病毒,产生告警事件的同时系统自动隔离发现的病毒。 |
告警并自动隔离 |
| 诱饵防护 | 在服务器中存放无效数据的文件和目录,作为预防被攻击后访问的目录和文件。 在开启服务器的勒索病毒防护时,诱饵防护会默认开启。 开启诱饵防护后,系统会在防护目录和关键目录(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,不会影响您服务器的正常运行。 | 开启 |
| 运行时检测 | 目标策略运行时检测的状态。 开启 、未开启 |
未开启 |
| 操作系统 | 目标策略绑定服务器的操作系统。 | Windows |
| 关联服务器数 | 目标防护策略被关联的服务器数量。 | - |
查看备份恢复任务
说明主机安全勒索防护的备份依附于云备份服务,执行备份相关操作须已购买云备份服务。
1、登录管理控制台。
2 、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、在导航树选择“主动防御 > 勒索病毒防护”,单击“备份恢复任务”的数量值。
5、弹出备份恢复任务弹窗,查看所有备份恢复详情,可通过服务器名称和恢复状态来筛选或检索目标服务器,参数说明如表所示。
备份恢复任务详情
备份恢复任务参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 服务器名称/ID | 执行备份恢复任务的服务器名称/ID。 | - |
| 备份名称 | 备份的数据源文件名称。 | - |
| 恢复状态 | 目标服务器备份恢复的状态。 成功、 跳过、失败、正在进行、超时 、等待。若出现跳过、失败、超时状态,重新恢复目标备份数据源即可。 |
成功 |
| 开始/结束时间 | 备份恢复的时间段(包含开始时间和结束时间)。 | - |
恢复服务器数据
说明主机安全勒索防护的备份依附于云备份服务,执行备份相关操作须已购买云备份服务。
1、 登录管理控制台。
2 、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4 、在导航树选择“主动防御 > 勒索病毒防护”,选择“防护服务器”,在目标服务器的“操作”列选择“更多”单击“恢复数据”。
5 、在弹窗中查看目标服务器的信息,通过筛选备份状态和搜索备份名称检索需要恢复的备份数据源,参数说明如表所示。
筛选备份数据源
备份数据源参数说明
| 参数名称 | 参数说明 | 取值样例l |
|---|---|---|
| 备份名称 | 备份的数据存储文件名称。 | - |
| 备份状态 | 服务器数据备份的状态。 可用 、正在创建 、正在删除 、 正在恢复、错误 当为“可用”状态时,备份数据源可进行恢复。 | - |
| 创建时间 | 目标备份数据源的备份时间。 | - |
6、在目标备份数据源的“操作”列单击“恢复数据”。
说明仅可对“备份状态”为“可用”的备份数据进行恢复。
7、 在弹出的对话框中确认服务器、是否重启等信息,确认无误,单击“确认”,执行自动恢复。
恢复服务器
扩充备份容量
说明主机安全勒索防护的备份依附于云备份服务,执行备份相关操作须已购买云备份服务。
1、 登录管理控制台。
2 、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4 、在导航树选择“主动防御 > 勒索病毒防护”,进入防护服务器列表,单击目标服务器“操作”列的“扩容”。
5 、在弹出窗口中输入“新增容量(GB)”。
输入新增容量值
6、确认无误,单击“确认”,页面跳转至支付页面,支付完成后可返回“防护服务器”页面查看目标服务器存储容量。
- 若未完成支付,目标服务器的“存储状态”会显示“被锁定”,支付后,状态恢复正常。
修改备份策略
说明主机安全勒索防护的备份依附于云备份服务,只有购买了云备份服务备份策略才会生效。
1 、登录管理控制台。
2 、 在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、在导航树选择“主动防御 > 勒索病毒防护”,进入防护服务器列表,单击目标服务器“备份策略状态”列的策略名称。
5 、在弹出对话框中配置策略,参数详情如表所示。
配置策略
策略参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 备份周期 | 选择按周或按天自动执行备份。 按周:至少选择一周中的某一天。 按天:最少每隔1天、最大每隔30天执行自动备份。 |
按周 |
| 备份时间 | 选择固定的时间点进行自动备份。 配置策略案例说明: 策略1:备份周期选择按周(周三、周六),备份时间选择00:00、13:00。释义:在每周三和每周六的00:00、13:00两个时间点实行自动备份。 策略2:备份周期选择按天(每隔2天),备份时间选择02:00、14:00。释义:即日起,每隔两天之后的02:00、14:00执行自动备份。 |
00:00、07:00 |
| 时区 | 选择备份时间所属的时区。 | UTC+08:00 |
6 、确认无误,单击“下一步”,配置备份数据保留规则,选择不同的保留类型会配置不同的参数。
- “保留类型”:“按数量”
配置备份规则参数说明如表所示。
按数量配置保留规则参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 配置详情 | 配置保留最新备份的数量。 须知 此处配置的备份保留数量为系统最终保留的份数,不受高级选项的规则影响。 例:“配置详情”填写保留备份数量为“30”,“高级选项”填写“月备份规则”值为“3”(即3个月,约90天),最终系统保留的备份数量为最新的30份 。 | 30 |
| 高级选项(可选) | 以日、周、月、年为单位周期,配置保留周期内每天最新的一个备份。 日备份规则:以天为单位,保留自定义天以内每天最新的一个备份。 周备份规则:以周为单位,保留自定义周以内每天最新的一个备份。 月备份规则:以月为单位,保留自定义月以内每天最新的一个备份。 年备份规则:以年为单位,保留自定义年以内每天最新的一个备份。 若同时填写多个规则,保留备份按照时间最长的规则执行。 |
月备份规则:3 |
- “保留类型”:“按时间”
配置备份规则参数说明如表所示。
按时间配置保留规则参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 配置详情 | 选择自定义或固定保留备份数据的周期,选择后自动开启备份保留,满足周期备份数据后系统将自动删除更早的数据。 自定义:输入以天为单位的数值,备份数据满足自定义天数的保存周期后,系统自动删除最早产生的备份数据。 1个月:备份数据满足1个月的保存周期后,系统自动删除最早产生的备份数据。 3个月:备份数据满足3个月的保存周期后,系统自动删除最早产生的备份数据。 6个月:备份数据满足6个月的保存周期后,系统自动删除最早产生的备份数据。 1年:备份数据满足1年的保存周期后,系统自动删除最早产生的备份数据。 |
3个月 |
- “保留类型”:“永久保留”
备份数据永久保留。
说明如果该策略曾经产生过备份副本,并且过去是“按时间”管理,历史备份仍然按照保留时间规则进行删除。
7、配置完成,单击“确认”,完成备份策略修改。
开启勒索病毒防护
勒索防护说明
勒索防护不支持主动拦截查杀,只支持检测,若需检测结果进行隔离查杀,操作详情请参见开启恶意程序隔离查杀。
前提条件
已购买主机安全版本为旗舰版或网页防篡改版。
约束限制
- 开启勒索病毒防护时,需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份,遭受攻击后较大概率无法恢复业务。
- 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。
- 按需计费模式下,不支持勒索病毒防护。
操作步骤
1、登录管理控制台。
2 、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3 、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、选择“主动防御 > 勒索病毒防护 > 防护服务器”,单击“为服务器开启防护”。
5 、在弹出的对话框选择目标系统,开启勒索防护,选择或新建策略,选择后单击“下一步”,参数说明如表所示,以下以Linux为例。
勒索防护配置参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 服务器操作系统 | 选择需要防护的服务器系统。 | Linux |
| 勒索防护 | 开启: 关闭: |
 - |
| 防护策略 | 您可选择已有策略或新建防护策略。 选择已有策略:在“选择防护策略”项选择已有的目标策略即可。 新建防护策略:详情请参见新建防护策略。 |
选择已有策略 |
| 选择防护策略 | 选择已有的防护策略。 | - |
6、 配置完成,单击“下一步”,配置服务器备份的备份规则。
- 服务器备份必须开启。
- 开启服务器备份,单击“保留规则”项的“修改备份策略”,可对备份规则进行修改。
7 、配置完成,单击“下一步”,进入服务器选择页面,通过分组筛选或服务器名称搜索目标服务器,勾选目标服务器。
8、确认无误,单击“确认”,开启服务器勒索防护。
9、左侧导航树选择“主动防御 > 勒索病毒防护”,选择“防护服务器”页签,查看已开启勒索防护的服务器。
防护策略管理
注意目前勒索病毒防护策略的新建必须通过开启防护的流程才能创建。
约束限制
- 开启勒索病毒防护时,需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份,遭受攻击后较大概率无法恢复业务。
- 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。
- 按需计费模式下,不支持勒索病毒防护。
新建防护策略
1、 登录管理控制台。
2、 在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、 在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、 选择“主动防御 > 勒索病毒防护 > 防护服务器”,单击“为服务器开启防护”。
5、 在弹出的对话框选择Linux或Windows系统,开启勒索防护,“防护策略”选择“新建防护策略”,参数说明如表所示。
以下以linux为示例,防护策略参数说明
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 服务器操作系统 | 选择需要防护的服务器系统。 | Linux |
| 勒索防护 | 根据需求开启户关闭勒索防护,建议开启。 开启:关闭: |
|
| 防护策略 | 您可选择已有策略或新建防护策略。 选择已有策略:在“选择防护策略”项选择已有的目标策略即可。 新建防护策略。 |
新建防护策略 |
| 防护策略名称 | 自定义防护策略名称。 | - |
| 防护动作 | 发现告警事件后的处理方式。 告警并自动隔离、仅告警 |
告警并自动隔离 |
| 诱饵防护 | 开启诱饵防护后,系统会在防护目录和关键目录(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,不会影响您的服务器正常运行。 在开启服务器的勒索病毒防护时,诱饵防护状态为默认开启。 说明 当前仅Linux系统支持动态生成和部署诱饵文件,Windows系统仅支持静态部署诱饵文件。 | 开启 |
| 诱饵防护目录 | 被防护的目录(不包括子目录)。 多个目录请用英文分号隔开,最多支持填写20个防护目录。 操作系统为Linux时必填项。 | Linux:/etc/lesuo Windows:C:\Test |
| 排除目录(选填) | 不进行部署诱饵文件的目录。 多个目录请用英文分号隔开,最多支持填写20个排除目录。 | Linux:/test Windows:C:\ProData |
| 防护文件类型 | 被防护的服务器文件类型或格式,自定义勾选即可。 涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。 仅Linux支持,且为必选项。 | 全选 |
| 进程白名单 | 添加自动忽略检测的进程文件路径,可在告警中获取。 仅Windows支持。 | - |
6、配置完成,单击“下一步”,配置服务器备份的备份规则。
- 服务器备份必须开启。
- 开启服务器备份,单击“保留规则”项的“修改备份策略”,可对备份规则进行修改。
7、配置完成,单击“下一步”,进入服务器选择页面,通过分组筛选或服务器名称搜索目标服务器,勾选目标服务器。
8、确认无误,单击“确认”,开启服务器勒索防护,同时防护策略创建成功。
9、左侧导航树选择“主动防御 > 勒索病毒防护 ”,选择“防护策略”页签,查看已创建的防护策略。
修改防护策略
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、选择“主动防御 > 勒索病毒防护 > 防护策略”。
5、单击目标防护策略操作列的“编辑”,弹出防护策略编辑页面,对策略信息和关联服务器进行编辑,参数说明如表所示。
以下以Linux为例,防护策略参数说明:
| 参数名称 | 参数说明 | 取值样例 |
|---|---|---|
| 服务器操作系统 | 选择需要防护的服务器系统。 | Linux |
| 勒索防护 | 根据需求开启户关闭勒索防护,建议开启。 开启: 关闭: |
 |
| 防护策略 | 您可选择已有策略或新建防护策略。 选择已有策略:在“选择防护策略”项选择已有的目标策略即可。 新建防护策略。 |
新建防护策略 |
| 防护策略名称 | 自定义防护策略名称。 | - |
| 防护动作 | 发现告警事件后的处理方式。 告警并自动隔离、仅告警 |
告警并自动隔离 |
| 诱饵防护 | 开启诱饵防护后,系统会在防护目录和关键目录(不包括排除目录)中部署诱饵文件。诱饵文件会占用小部分服务器资源,不会影响您的服务器正常运行。 在开启服务器的勒索病毒防护时,诱饵防护状态为默认开启。 说明 当前仅Linux系统支持动态生成和部署诱饵文件,Windows系统仅支持静态部署诱饵文件。 | 开启 |
| 诱饵防护目录 | 被防护的目录(不包括子目录)。 多个目录请用英文分号隔开,最多支持填写20个防护目录。 操作系统为Linux时必填项。 | Linux:/etc/lesuo Windows:C:\Test |
| 排除目录(选填) | 不进行部署诱饵文件的目录。 多个目录请用英文分号隔开,最多支持填写20个排除目录。 | Linux:/test Windows:C:\ProData |
| 防护文件类型 | 被防护的服务器文件类型或格式,自定义勾选即可。 涵盖数据库、容器、代码、证书密匙、备份等9大文件类型,共70+种文件格式。 仅Linux支持,且为必选项。 | 全选 |
| 进程白名单 | 添加自动忽略检测的进程文件路径,可在告警中获取。 仅Windows支持。 | - |
6 、确认信息无误,单击“确认”,完成防护策略修改。
删除防护策略
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、选择“主动防御 > 勒索病毒防护 > 防护策略”。
5、单击目标策略“操作”列的“删除”。
说明删除策略后,关联的服务器将不再被防护,风险系数将会升高,建议删除策略前将目标策略关联的服务器绑定其他策略开启防护。
6 、在弹窗确认正在删除的策略信息,确认无误,单击“确认”,完成删除。
关闭勒索防护
前提条件
已购买主机安全版本为旗舰版或网页防篡改版。
防护服务器列表至少有一台服务器处理防护中状态。
约束限制
- 开启勒索病毒防护时,需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份,遭受攻击后较大概率无法恢复业务。
- 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。
- 按需计费模式下,不支持勒索病毒防护。
关闭服务器防护
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
4、选择“主动防御 > 勒索病毒防护 > 防护策略”。
5、单击目标服务器“操作”列的“关闭防护”,在弹窗中选择需要关闭的防护功能。
- 关闭所有防护:关闭后目标服务器的勒索防护和备份功能都将关闭。
- 仅关闭勒索防护:仅关闭目标服务器的勒索病毒防护。
- 仅关闭备份功能:仅关闭目标服务器的数据备份功能。
6 、确认关闭信息无误,单击“确认”,完成关闭。
