近日，全球遭受新一輪網絡勒索病毒攻擊，波及60個國家和地區，約30萬用戶受到嚴重影響，數家企業被迫中斷業務或停止生產。據報道，美國、俄羅斯、丹麥、烏克蘭，歐洲等多國企業和政府系統中招，中毒者電腦被鎖，要求支付300美元的加密數字貨幣才能解鎖。

中興通訊積極應對，在病毒爆發的最初一刻就敏銳地察覺到了危險，第一時間給出了uSmartDC中興通訊云數據中心基于端點防御技術的防勒索解決方案，最大限度保證客戶的系統安全，全力維護客戶的利益。

中興通訊認為針對當前高發的勒索攻擊，僅邊界安全方案已不可靠。uSmartDC作為中興通訊云數據中心整體解決方案，通過集成防勒索攻擊安全控制模塊，德國機房主機 波蘭服務器，提供了基于端點防護的防勒索功能。防勒索安全控制模塊實現了統一安全策略配置和下發、勒索行為的預警和文件堡壘管理等功能，彌補了邊界防護的不足，保護了客戶的數據安全。

防勒索部署方案

防勒索對抗系統與數據中心的租戶安全方案結合，采用端點探針，租戶安全管理節點，防勒索管理節點的方式部署。

端點探針：在端點層（物理機、虛擬機）部署輕量級行為監測探針，通過對端點操作和進程行為的時間序列自學習建立端點行為基線庫，對操作/進程行為進行甄別、并匹配勒索行為樣本庫定義實現對威脅態勢實時分析和感知，可按策略對攻擊行為執行阻斷。

租戶安全管理節點：提供租戶的策略配置，勒索行為預警及上報，文件堡壘管理等功能。

防勒索管理節點：提供統一的策略配置和下發，勒索行為的預警，和文件堡壘的管理功能。

防勒索解決方案基于操作和進程行為特征分析進行勒索攻擊檢測，能實時阻斷勒索。文件堡壘對勒索攻擊前未感染用戶文件的預知性備份，阻斷查殺完成后，按需恢復。做到了攻擊前備份，日常檢測，預警，阻殺，及恢復，是業界第一個具備全流程防勒索功能的云數據中心解決方案。

與傳統的特征代碼檢測法，校驗和法，軟件模擬法相比，uSmartDC中興通訊云數據中心防勒索方案的行為檢測法可發現未知勒索病毒及其變種、可精準地預報未知病毒并第一時間阻止勒索行為。基于一定規模的惡意代碼行為庫，能夠對系統內核、驅動、進程、指令等諸多對象進行跨時空數據分析。

防勒索原理

1.如何檢測

勒索阻擊的前提是檢測，勒索攻擊存在共同且比較特殊的行為，監測行為特征通常包括： INT 13H異常占用；修改系統為數據區的內存總量；對COM、EXE文件做寫入動作；病毒程序與宿主程序的切換；文件瀏覽及異常加密等操作。

端點探針自帶勒索行為特征庫，將檢測到的可疑行為與勒索行為特征庫作加權比對，美國抗攻擊服務器 亞洲服務器，用以確定該行為的可疑與否。開啟該功能，將直接阻攔可疑勒索行為，關閉則僅執行可疑勒索行為搜集而不作判斷和阻攔；端點探針具有操作和進程行為的自動學習能力，提高攻擊行為判斷靈敏度，減少誤判。

通過向用戶提供自行定義檢測行為和預警推送的接口，擴充了檢測內容和范圍，并能定期向用戶推送勒索威脅預警。

5/12大爆發的WannaCry勒索軟件的報警截圖

2.如何阻擊

端點探針通過勒索網絡回連協議自動識別阻斷勒索回連；對異常內網復制行為識別，與“內網連接通道阻斷”聯動以阻止異常復制行為；對于未知漏洞（0-day），基于攻擊行為特征庫結合惡意代碼的行為分析等判定攻擊的可疑行為，以導致的結果為判斷依據，若判斷為攻擊則及時阻斷。

提權阻斷，并發出警報

3.如何備份

非授權文件瀏覽，創建或修改指定功能類型文件，文件夾的異常瀏覽軌跡，未許可新進程創建記錄等異常行為通常發生于勒索病毒感染過程中，通過上述行為的記錄并進行后臺的行為分析甄別，可事先預判可能發生的勒索事件，并預知性地把即將被該進程讀寫的文件復制到文件堡壘。對在勒索阻斷之前某些可能已經被惡意加密的少數文件，在阻斷查殺完成后，可按需要由文件堡壘恢復數據。

防勒索方案亮點

1.端點防護，邊界防御的有力補充在端點層（物理機、虛擬機）部署輕量級行為監測探針對用戶/進程行為甄別，彌補邊界防御的不足。

2.文件堡壘，將損失降到最低文件堡壘提供了勒索預判功能，在可疑情況下，將文件預先備份，盡可能的減少勒索損失。

3.行為分析，防患于未然基于操作/進程的行為分析，發現未知漏洞，攻擊行為判斷靈敏，阻攔0DAY攻擊。

4.安全中心，全方位防控視圖集中的安全管理中心，安全數據，告警信息一目了然。