若能及时识别并隔离勒索攻击,将能大大降低被攻击的概率。服务器安全卫士(原生版)通过在关键位置投放诱饵文件,实时监控诱饵文件的改动,一旦单位时间内多个诱饵文件连续发生改动,立即产生报警,终止修改诱饵文件的进程,并隔离进程对应的文件,实现对未知勒索病毒的检测和查杀能力。
通过启用诱饵防护和勒索备份,可以增加勒索防护能力,从而降低业务受损风险。
启用诱饵防护
您可以根据业务需求,配置诱饵文件防护目录。
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“文件安全 > 文件防勒索”,进入文件防勒索页面。
-
单击诱饵防护模块的“设置”按钮。
-
在页面右侧弹出的防护设置页面,配置防护参数。
参数说明:
参数 说明 启用诱饵防护 自动在在系统关键位置投放诱饵文件,实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动处理。 手动处理:检测出勒索病毒文件后,仅产生告警。需手动在控制中心对勒索告警进行处理,支持隔离、删除、信任。
自动处理:检测出勒索病毒文件后产生告警,并自动隔离病毒文件。
说明自动隔离后,若出现误报,可在告警列表中对文件进行恢复。
指定防护目录 根据用户的特定防护场景,可自定义创建勒索诱饵文件。 生效范围 自定义选择需要开启诱饵防护的服务器。 -
配置完成后,单击“确认”。
开启勒索备份
为了避免被勒索后数据丢失,请为服务器开启勒索备份,定期备份数据。
说明数据备份/恢复属于增值服务,如果您未购买存储库,请先购买备份存储库后再开启勒索备份。
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“文件安全 > 文件防勒索”,进入文件防勒索页面。
-
安装备份Agent。
在“备份与恢复”页面,选择需要进行数据备份的服务器,单击操作列的“安装备份Agent”,Agent状态为“已激活”则安装成功。
-
创建备份计划。
在“备份与恢复”页面,选择需要进行数据备份的服务器,单击操作列的“备份计划”,按照设置的策略进行周期性数据备份。- 备份目录:可指定全部目录或自定义目录进行数据备份。
- 备份周期:可选择每小时、每天、每周或月设置备份周期。
- 保留规则:可设置备份计划生效时间,支持永久保留和自定义设置时间。
- 绑定存储库:选择一个可用状态的存储库,备份数据大小应小于存储库剩余容量。
处理勒索告警
启用诱饵防护后,请及时处置勒索告警事件,及时发现并隔离阻断勒索病毒运行、扩散。
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“文件安全 > 文件防勒索”,进入文件防勒索页面。
-
在“勒索告警”页签,查看勒索攻击告警。
您可以根据告警信息排查主机上是否存在勒索软件。
-
在列表中可以看到告警服务器、告警详情、诱饵文件路径、操作类型、发生时间、处理方式、状态。
-
展开告警,可以查看告警详细信息,包括进程启动命令行、父进程文件路径、父进程ID、父进程启动命令行。
-
-
在告警列表的操作列,选择告警处理方式。
提供如下处理方式:- 隔离:手动隔离病毒文件,文件隔离成功后将移动至隔离区并加密,无法再对服务器造成威胁。
- 取消隔离:对已隔离的文件,如用户有恢复需求,可恢复原始文件。
- 信任:经分析后确认为误报,可以选择将文件进行信任,信任后将不再对该文件进行检测告警。
- 删除:手动删除病毒文件,文件被删除后无法进行恢复,请谨慎进行操作。