勒索病毒——来自计算机领域的“绑匪”

万万没想到，一开机就弹出缴比特币才能使用的窗口，业务主机居然就被“绑匪”盯上了!

当然，这里的“绑匪”指的并不是那些打家劫舍、绑架勒索的绑匪，而是计算机领域的“绑匪”——勒索病毒。

那么，为什么要称它为“绑匪”呢?因为勒索病毒的行为方式就是“绑架”你的文件(数据)作为“人质”，如果你想重新拿回文件(数据)就要向黑客支付“赎金”。

图1 勒索病毒形象画

8月6日凌晨，黑客组织RansomEXX对曾经的板卡三巨头之一——技嘉进行了勒索病毒攻击，技嘉方面在检测到服务器受到攻击之后，立即关闭了台湾部分的IT系统，因此一度导致自家官网的支持页面无法访问。

图2 技嘉官网无法访问

虽然技嘉表示此次黑客攻击并未对生产、销售、日常运营造成影响，然而黑客组织RansomEXX声称，已经从技嘉内部服务器窃取了112GB(120971743713字节)的重要数据，其中包含了许多重要的NDA保密协议文件，例如英特尔、AMD、AMI的重要数据。并且在该页面中贴出了数份尚处于保密期中的文件，用以证明勒索事件的真实性。

图3 勒索病毒声明

同样是在2021年8月，Lockbit2.0在其数据泄露网站，发布了关于网络保险提供商、全球IT咨询巨头埃森哲遭受勒索攻击的相关新闻。据悉，Lockbit团伙不仅加密了埃森哲2500台设备，还从内网中窃取了6TB数据，并发布警告称：若不在指定时间内支付5000万美元赎金，将公开发布窃取到的全部数据。

图4  Lockbit勒索病毒

自勒索病毒出现以来，这样性质恶劣的“勒索”事件已经数不胜数，侵害了所有已知的行业，就连涉密领域、政府机构、军队作战等领域都未能幸免，并且这种趋势存在加剧恶化的态势，勒索病毒显然已经成为“数据安全”的重大安全威胁!

然而值得庆幸的是，在我国数据安全专家和查杀恶意代码专家们的共同努力下，国联易安公司终于研发出了基于人工智能诱捕技术的勒索病毒“克星”，下面我们就来介绍一下这款勒索病毒防御产品。

     国联勒索病毒防御系统是国内对勒索病毒防御的唯一有效产品，能真正满足所有行业对勒索病毒防御方面的需求，属于下一代勒索病毒检测与防御产品。技术上采用内外恶意行为感知、智能机器学习、漏洞利用检测、高级智能威胁行为分析、人工智能仿真诱捕等核心专利技术，实现诱捕、判断、识别、定位和查杀勒索病毒的效果，帮助用户有效防范未知勒索病毒带来的安全风险，对安全事件实现快速响应和处置。

     ▇ 有效抵御0day攻击

基于漏洞利用行为的攻击检测可有效抵御0day攻击。国联勒索病毒防御系统不再关注服务器和终端设备是否存在漏洞，而是通过对服务器和终端的持续监控，对服务器和终端可疑行为进行标记和追踪，进而发现漏洞利用行为，并进行处置，有效抵御0day的风险，同时也可以避免用户在补丁更新不及时情况下造成的防御真空。

     ▇ 高效准确的威胁发现能力

高级智能威胁行为关联分析提升了威胁发现能力和准确性。从关注单一行为请求转变为对服务器和终端行为的关联分析，通过检测攻击者的攻击路径和手法及时发现被隐藏的攻击痕迹、行为动作以提升威胁发现能力，避免过去单一行为检测造成的漏报和误报，同时也可以有效检测病毒以及恶意软件变种，弥补静态样本比对方式不足。

     ▇ 未知勒索病毒发现和分析能力

通过对服务器和终端行为数据的碰撞和仿真系统行为诱捕，帮助用户发现当前系统存在的异常行为，并实现对安全事件的多维度关联分析，做出快速的响应和处置。

     ▇ 对勒索病毒防御的唯一有效手段

利用内外行为感知，并利用智能计算机学习、漏洞利用检测、高级智能威胁行为分析、人工智能仿真系统诱捕等技术，实现诱捕、判断、识别、定位和查杀勒索病毒，并能有效阻止勒索病毒的扩散与传播，精准定位到勒索病毒的感染源，进行快速查杀。

国联勒索病毒防御系统是唯一对勒索病毒有效的防御技术手段。

     ▇ 威胁脑图和根因分析

威胁脑图是以直观的形式向用户展示安全事件的全过程，帮助用户快速建立起整个安全事件全貌，同时根据威胁进入网络后做的事情判断是否是一个针对性攻击，还是仅仅是偶然的病毒感染事件，以及这台计算机被控制后，有没有扩散到其它计算机。通过将不同维度的告警信息进行关联的呈现，用户可更加方便的进行安全溯源和响应处置。

     “勒索病毒是一种特殊类型的恶意代码，属于木马类恶意程序。勒索病毒成为近年来主要的安全威胁之一，严重危害到了个人终端用户、行业用户，乃至国家安全。常规安全防护产品或杀毒软件对勒索病毒都没有检测和防御效果，导致了勒索病毒在全球泛滥成灾。庆幸的是，我们利用30多年对恶意代码的研究经验，结合当前最新的人工智能诱捕技术和人工智能仿真技术，真正实现了对勒索病毒的精准识别、全网定位、高效查杀效果，受到了广大用户的一致好评。”国联易安创始人门嘉平博士总结道。

关于国联易安

北京国联易安信息技术有限公司(原北京智恒联盟科技有限公司)简称“国联易安”，成立于2006年，拥有“国联易安”和“智恒联盟”两个品牌，是国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业。公司多项安全技术补了国内技术空白，并且在政府、金融、保密、电信运营商、军队军工、大中型企业、能源、教育、医疗电商等领域得到广泛应用。

国联易安除研发生产专业安全产品外，还为客户提供全面的检测与防护方案专家咨询、源代码安全评估、安全运维值守、智能终端安全评估、安全渗透测试、专业安全培训等专业安全服务。

有关国联易安详情，敬请浏览公司官网：http://www.glya.com.cn