来自 DDOS 2021-02-20 17:05 的文章

服务器盾_香港_在线游戏防御

服务器盾_香港_在线游戏防御

勒索软件是今年的威胁。如果你对信息安全领域的时事有过懒散的观察,那么你一定听说过WannaCry感染最近夺走了数百家公司的端点。现在你已经(希望)修补了所有易受攻击的Windows系统,但不要放松!现在仍然有很多勒索软件活动,比如syncrypt、GlobeImposter和Locky等等。不言而喻,许多组织关心的是检测勒索软件和如何防止它。红金丝雀最近在野外抓到了一个勒索软件的活动,并迅速通知了我们的客户,然后在其网络上传播开来。这种感染与黑客勒索软件相似。三个关键的观察使我们了解了最初的感染:扩展名为.hta的可移植可执行文件运行的可执行文件缺少签名文件哈希在多个信誉网站上显示为恶意。我们经常被问到如何检测勒索软件感染,以及提供给我们的客户什么。我们将使用来自实际威胁检测的快照来说明攻击时间线,并显示最初感染后的瞬间发生了什么。检测勒索软件:威胁检测时间表这一切都是在使用Internet Explorer下载名为index[1].htm的可执行文件时开始的。受害者在正常的浏览会话中下载了这个文件。在几秒钟内,最初的下载产生了一个随机命名的可执行文件,它修改了近3000个文件,建立了超过6000个网络连接。恶意htm文件生成主勒索软件可执行文件最初的事件由红金丝雀探测引擎识别。负责调查的红金丝雀分析员立即跳入炭黑反应平台进行深入挖掘。恶意二进制文件的一个运行实例立即成为有用的法医信息的主要嫌疑犯。勒索软件可执行文件生成的多个实例命令提示符通过关注这个恶意进程,我们看到了受害者文件的所有相关加密。这种勒索软件将一个目录中的所有文件加密,然后在该文件夹中放置一个文本文件,说明如何支付赎金并重新访问这些文件。显示受害者档案被加密的炭黑数据在对受害者的文件进行加密后,全球DDoS防御,勒索软件立即运行清理操作。通过使用vssadmin删除设备备份,高防cdn服务,恶意进程快速完成了受害者恢复未加密数据的唯一方法。Vssadmin实用程序删除设备备份勒索软件活动对vssadmin的使用非常普遍,甚至有人建议完全禁用vssadmin,而是使用wmic.exe文件创建设备备份文件。这种技术在某些情况下可能会有所帮助,如何防御最新的ddos,但WannaCry还使用wmic、wbadmin和bcdedit删除所有连接的备份并禁用恢复模式。显然,高防cdn推荐,随着勒索软件功能的不断增长,离线备份只会变得更加重要。一旦受害者的备份被删除,就会创建一个文本文件,其中包含支付比特币赎金和恢复加密文件的说明。在受害者桌面上创建的带有恢复说明的文本文件该检测结果立即发送给客户,他们能够在感染传播之前隔离并补救终点。自从这起事件以来,我们还没有在他们的网络上看到勒索软件的任何证据。如果没有端点可见性,ddos防御更换ip,这可能是一个更大的问题。这提醒我们,有多层防御是多么重要。很明显你想尽你所能阻止。但威胁还是会过去的。当他们这样做的时候,关键是你要在你的环境中有可见性,你有合适的解决方案来检测威胁,然后有资源来快速响应。您可能还喜欢:网络研讨会:预防和减轻勒索软件的针对性措施如何防范勒索软件:5种实用技术与对策网络威胁结束