若能及时识别并隔离勒索攻击,将能大大降低被攻击的概率。服务器安全卫士(原生版)通过在关键位置投放诱饵文件,实时监控诱饵文件的改动,一旦单位时间内多个诱饵文件连续发生改动,立即产生报警,终止修改诱饵文件的进程,并隔离进程对应的文件,实现对未知勒索病毒的检测和查杀能力。
通过启用勒索诱饵防护,可以增加勒索防护能力,从而降低业务受损风险。
启用诱饵防护
您可以根据业务需求,配置诱饵文件防护目录。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“设置中心 > 安全配置”,进入安全配置页面。
找到“勒索诱饵防护”模块的“配置规则”按钮。
在页面右侧弹出的防护设置页面,配置防护参数。
参数说明:
| 参数 | 说明 |
|---|---|
| 启用诱饵防护 | 自动在系统关键位置投放诱饵文件,实时捕捉勒索行为并进行阻断。 |
| 病毒处置方式 | 配置发现勒索病毒文件后的处理方式。支持手动处理和自动隔离。
|
| 指定防护目录 | 根据用户的特定防护场景,可自定义创建勒索诱饵文件。 |
| 设置生效范围 | 自定义选择需要开启诱饵防护的服务器。 |
配置完成后,单击“确认”。
处理勒索告警
启用诱饵防护后,请及时处置勒索告警事件,及时发现并隔离阻断勒索病毒运行、扩散。
说明
若您在配置病毒处理方式时,选择了“自动隔离”的方式则会自动隔离文件,无需手动处理告警
若您选择了“手动处理”的方式,请参考下文进行操作。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 告警中心”,进入告警中心页面。
选择告警名称为“可疑勒索行为”的告警,单击告警操作列的“详情”,可在弹出的对话框中查看告警详情。
核对告警信息,单击弹窗下方的“处理”按钮,根据业务实际需求处理告警。
在弹出的告警处理对话框中,选择告警处理方式。
忽略:选择忽略,告警状态将变为已忽略。
加白名单:选择加白名单,系统会为您自动填写加白规则,若自动生成的加白规则不满足您也可以自定义加白规则。
文件隔离:选择隔离文件,告警状态将变为已隔离。
文件删除:选择删除文件,删除文件可能影响业务系统正常运行,文件被删除后无法恢复,请谨慎操作。
