不容錯(cuò)過(guò)勒索病毒終結(jié)者——華為云HSS,華為云勒索病毒

不容錯(cuò)過(guò)勒索病毒終結(jié)者——華為云HSS

勒索病毒，是伴隨數(shù)字貨幣興起的一種新型病毒木馬，通常以垃圾郵件、服務(wù)器入侵、網(wǎng)頁(yè)掛馬、捆綁軟件等多種形式進(jìn)行傳播。一旦遭受勒索病毒攻擊，將會(huì)使絕大多數(shù)的關(guān)鍵文件被加密。被加密的關(guān)鍵文件均無(wú)法通過(guò)技術(shù)手段解密，用戶將無(wú)法讀取原本正常的文件，僅能通過(guò)向黑客繳納高昂的贖金，換取對(duì)應(yīng)的解密私鑰才能將被加密的文件無(wú)損的還原。黑客通常要求通過(guò)數(shù)字貨幣支付贖金，一般無(wú)法溯源。

如果企業(yè)的關(guān)鍵文件被加密，業(yè)務(wù)將受到嚴(yán)重影響；黑客索要高額贖金，也會(huì)帶來(lái)直接的經(jīng)濟(jì)損失，因此，遭遇勒索病毒入侵危害巨大。

面對(duì)勒索病毒的威脅，怎么才能克敵制勝——選擇華為云HSS

無(wú)論黑客發(fā)起多么復(fù)雜的勒索病毒攻擊，在網(wǎng)絡(luò)中經(jīng)歷多少環(huán)節(jié)，采用多少高級(jí)技術(shù)，都是通過(guò)攻擊某一個(gè)或多個(gè)主機(jī)完成的。因此，應(yīng)對(duì)勒索病毒離不開對(duì)主機(jī)的安全防護(hù)。

華為云HSS作為主機(jī)防護(hù)領(lǐng)域的領(lǐng)跑者，深耕主機(jī)安全管理，全面識(shí)別并管理主機(jī)中的信息資產(chǎn)，實(shí)時(shí)監(jiān)測(cè)主機(jī)中的風(fēng)險(xiǎn)并阻止非法入侵行為，幫助企業(yè)構(gòu)建服務(wù)器安全體系，全面保障您的主機(jī)不被勒索病毒侵害。

云小課為您指引，如何使用HSS防勒索病毒

防勒索病毒是一個(gè)長(zhǎng)期而持久的過(guò)程，華為云HSS事前（安全加固）、事中（主動(dòng)防御）、事后（備份恢復(fù)）三部曲，為您抵擋勒索病毒入侵，營(yíng)造主機(jī)資產(chǎn)安全運(yùn)行環(huán)境。

使用HSS前，您需要購(gòu)買HSS防護(hù)配額，并開啟主機(jī)防護(hù)；如果需要使用云服務(wù)器備份服務(wù)恢復(fù)數(shù)據(jù)，請(qǐng)?jiān)谑虑皩?duì)服務(wù)器進(jìn)行定時(shí)備份。

事前：安全加固——強(qiáng)基固本，攔截入侵

配置安全基線

HSS每日凌晨自動(dòng)檢測(cè)系統(tǒng)中關(guān)鍵軟件的配置風(fēng)險(xiǎn)并給出詳細(xì)的加固方法。您可以根據(jù)給出的加固建議，正確處理主機(jī)內(nèi)的各種風(fēng)險(xiǎn)配置信息。

風(fēng)險(xiǎn)等級(jí)分為“高?！?、“中危”和“低?！保唤ㄗh您優(yōu)先修復(fù)“威脅等級(jí)”為“高?！钡年P(guān)鍵配置，根據(jù)業(yè)務(wù)實(shí)際情況修復(fù)威脅等級(jí)為“中?！被颉暗臀！钡年P(guān)鍵配置，忽略可信任的配置項(xiàng)；HSS支持檢測(cè)的軟件類型：Tomcat、SSH、Nginx、Redis、Apache 2、MySQL 5。

步驟 1進(jìn)入“基線檢查”頁(yè)面，選擇“配置檢測(cè)”頁(yè)簽，查看配置檢測(cè)詳情，例如：SSH采用了不安全的加密算法。

步驟 2進(jìn)入配置風(fēng)險(xiǎn)詳情頁(yè)面，單擊“檢測(cè)詳情”，您可以根據(jù)“審計(jì)描述”驗(yàn)證檢測(cè)結(jié)果，根據(jù)“修改建議”處理主機(jī)中的異常信息，從而加固配置基線。

步驟 3完成配置項(xiàng)的修復(fù)后，建議您立即執(zhí)行手動(dòng)檢測(cè)，查看配置項(xiàng)修復(fù)結(jié)果。如果您未進(jìn)行手動(dòng)驗(yàn)證，HSS會(huì)在次日凌晨執(zhí)行自動(dòng)驗(yàn)證。自動(dòng)驗(yàn)證完成后，您可查看配置項(xiàng)修復(fù)結(jié)果。

結(jié)束

加固弱密碼

HSS每日凌晨自動(dòng)檢測(cè)主機(jī)中使用的經(jīng)典弱口令和您添加的自定義弱口令。您可以根據(jù)檢測(cè)出的弱口令對(duì)應(yīng)的彈性云服務(wù)器名稱、賬號(hào)名、賬號(hào)類型和弱口令使用時(shí)長(zhǎng)，加固弱密碼。

HSS支持檢測(cè)MySQL、FTP及系統(tǒng)賬號(hào)的弱口令。

步驟 1選擇“安全企業(yè)主機(jī)安全”，進(jìn)入“基線檢查”頁(yè)面，加固弱密碼。

步驟 2進(jìn)入“策略管理”頁(yè)面，配置指定策略組的“弱口令檢測(cè)”，添加自定義弱口令。

步驟 3完成弱密碼加固后，建議您立即執(zhí)行手動(dòng)檢測(cè)，查看弱密碼加固結(jié)果。如果您未進(jìn)行手動(dòng)驗(yàn)證，HSS會(huì)在次日凌晨執(zhí)行自動(dòng)驗(yàn)證。自動(dòng)驗(yàn)證完成后，您可查看弱密碼加固結(jié)果。

步驟 4進(jìn)入“告警通知”頁(yè)面，勾選“弱口令”，一旦檢測(cè)出弱口令，您將會(huì)收到告警通知。

結(jié)束

修復(fù)漏洞

HSS每日凌晨自動(dòng)進(jìn)行一次全面的檢測(cè)，“漏洞管理”通過(guò)訂閱官方更新，判斷服務(wù)器上的補(bǔ)丁是否已經(jīng)更新，并推快遞官方補(bǔ)丁，將結(jié)果上報(bào)至管理控制臺(tái)，并為您提供漏洞告警。幫助您及時(shí)發(fā)現(xiàn)漏洞，并在不影響業(yè)務(wù)的情況下修復(fù)漏洞、更新補(bǔ)丁。

漏洞修復(fù)緊急程度分為“需盡快修復(fù)”、“可延后修復(fù)”和“暫可不修復(fù)”；建議您優(yōu)先修復(fù)“需盡快修復(fù)”的漏洞，根據(jù)業(yè)務(wù)實(shí)際情況修復(fù)“可延后修復(fù)”或“暫可不修復(fù)”的漏洞，忽略無(wú)需修復(fù)的漏洞。

步驟 1選擇“安全企業(yè)主機(jī)安全”，進(jìn)入“漏洞管理”頁(yè)面。

步驟 2選擇“Linux軟件漏洞管理”、“Windows系統(tǒng)漏洞管理”或者“WebCMS漏洞管理”，一鍵漏洞修復(fù)或者根據(jù)“修復(fù)建議”進(jìn)行手動(dòng)修復(fù)漏洞。

步驟 3修復(fù)漏洞后，您可以單擊“驗(yàn)證”，一鍵驗(yàn)證該漏洞是否已修復(fù)成功。若您未進(jìn)行手動(dòng)驗(yàn)證，主機(jī)防護(hù)每日凌晨進(jìn)行全量檢測(cè)，您修復(fù)后需要等到次日凌晨檢測(cè)后才能查看修復(fù)結(jié)果。

步驟 4進(jìn)入“安裝與配置告警通知”頁(yè)面，勾選“緊急漏洞”，HSS一旦檢測(cè)出緊急漏洞（需盡快修復(fù)），您將會(huì)收到告警通知。

結(jié)束

事中：主動(dòng)防御——全面防御，無(wú)懼勒索

手段一：病毒云查殺+使用智能學(xué)習(xí)策略防御勒索病毒（旗艦版）

病毒云查殺

HSS提供隔離查殺功能，將已感染主機(jī)迅速采取隔離措施防止病毒擴(kuò)散蔓延。

步驟 1選擇“安全企業(yè)主機(jī)安全”，進(jìn)入“事件管理”頁(yè)面，查看并處理“惡意程序（云查殺）”告警事件。

步驟 2選擇“隔離查殺”，一鍵查殺勒索病毒。選擇隔離查殺后，該程序無(wú)法執(zhí)行“讀/寫”操作，同時(shí)該程序的進(jìn)程將被立即終止。HSS將程序或者進(jìn)程的源文件加入文件隔離箱，被隔離的文件不會(huì)對(duì)主機(jī)造成威脅。

步驟 3選擇“安裝與配置告警通知”頁(yè)面，勾選“惡意程序”實(shí)時(shí)告警通知，一旦檢測(cè)出惡意程序，您將會(huì)收到告警通知。

結(jié)束

使用智能學(xué)習(xí)策略防御勒索病毒

HSS可有效監(jiān)控您云主機(jī)上的勒索軟件及進(jìn)程的加密行為，并進(jìn)行及時(shí)的阻斷和查殺，對(duì)資產(chǎn)進(jìn)行全面防護(hù)，有效保護(hù)您的文檔和內(nèi)容的安全，保障您的主機(jī)不被勒索病毒侵害。

僅支持防御Windows系統(tǒng)勒索病毒。

創(chuàng)建智能學(xué)習(xí)策略

步驟 1選擇“安全企業(yè)主機(jī)安全”，進(jìn)入“勒索病毒防護(hù)”頁(yè)面，選擇“策略管理”，創(chuàng)建智能學(xué)習(xí)策略。

步驟 2配置智能學(xué)習(xí)策略“基本信息”。

步驟 3單擊“添加服務(wù)器”，在彈出的“添加關(guān)聯(lián)服務(wù)器”的窗口中，選擇關(guān)聯(lián)服務(wù)器。

步驟 4完成關(guān)聯(lián)服務(wù)器添加后，單擊“創(chuàng)建并學(xué)習(xí)”，自動(dòng)對(duì)關(guān)聯(lián)服務(wù)器進(jìn)行智能學(xué)習(xí)，收集該策略下的所有服務(wù)器的正常進(jìn)程行為數(shù)據(jù)，完成可信程序的判定。

智能學(xué)習(xí)策略學(xué)習(xí)完成后，HSS將監(jiān)控設(shè)置的“監(jiān)控文件路徑”，若發(fā)現(xiàn)非策略中的進(jìn)程行為或者非可信程序的修改行為，及時(shí)觸發(fā)告警。

結(jié)束

處理告警事件

步驟 1進(jìn)入“勒索病毒防護(hù)”頁(yè)面，在“事件管理”列表中，您可查看并處理告警事件。

步驟 2在彈出的處理事件窗口中，標(biāo)記“可信”或者“不可信”。

步驟 3您可以對(duì)非策略中的進(jìn)程行為，或者“不可信”的進(jìn)程行為進(jìn)行手動(dòng)阻斷，并隔離查殺。防止非策略中的進(jìn)程行為，或者不可信的進(jìn)程對(duì)文件的加密操作。

結(jié)束

手段二：鎖定文件防篡改（網(wǎng)頁(yè)防篡改版）

HSS可鎖定驅(qū)動(dòng)級(jí)文件目錄、Web文件目錄下的文件，禁止攻擊者修改鎖定的文件目錄下的文件。若HSS檢測(cè)到鎖定目錄下的文件被篡改，將立即使用本地主機(jī)備份文件自動(dòng)恢復(fù)被非法篡改的文件。若本地主機(jī)上的文件目錄和備份目錄失效，可通過(guò)遠(yuǎn)端備份服務(wù)恢復(fù)被篡改的文件。

若需要使用HSS鎖定文件目錄及備份，請(qǐng)開啟網(wǎng)頁(yè)防篡改防護(hù)。

步驟 1選擇“安全企業(yè)主機(jī)安全”，進(jìn)入“網(wǎng)頁(yè)防篡改防護(hù)列表”頁(yè)面，單擊“防護(hù)設(shè)置”，進(jìn)入防護(hù)設(shè)置頁(yè)面。

步驟 2在“防護(hù)設(shè)置”頁(yè)面，添加防護(hù)目錄，并將文件進(jìn)行本地備份。

步驟 3啟動(dòng)遠(yuǎn)端備份。HSS默認(rèn)會(huì)將防護(hù)目錄下的文件備份在“添加防護(hù)目錄”時(shí)添加的本地備份路徑下，為防止備份在本地的文件被攻擊者破壞，請(qǐng)您啟用遠(yuǎn)端備份功能。

1.進(jìn)入“網(wǎng)頁(yè)防篡改安裝與配置”頁(yè)面，在“遠(yuǎn)端備份服務(wù)器”頁(yè)面，添加遠(yuǎn)端備份服務(wù)器。

2.進(jìn)入“網(wǎng)頁(yè)防篡改防護(hù)列表”，單擊“防護(hù)設(shè)置”，進(jìn)入防護(hù)設(shè)置頁(yè)面，為防護(hù)目錄啟動(dòng)遠(yuǎn)端備份。

結(jié)束

事后：備份恢復(fù)——文件恢復(fù)，萬(wàn)無(wú)一失

結(jié)合云服務(wù)器備份服務(wù)，當(dāng)云服務(wù)器被勒索病毒侵害，存儲(chǔ)在云服務(wù)器中的文件、數(shù)據(jù)丟失或者無(wú)法正常打開時(shí)，您可以通過(guò)重裝服務(wù)器系統(tǒng)，并通過(guò)云服務(wù)器備份的數(shù)據(jù)恢復(fù)云服務(wù)器。

步驟 1選擇“計(jì)算彈性云服務(wù)器”，在待重裝操作系統(tǒng)的彈性云服務(wù)器的操作列下，單擊“更多鏡像/磁盤重裝操作系統(tǒng)”。

步驟 2選擇“存儲(chǔ)云服務(wù)器備份”，找到服務(wù)器所對(duì)應(yīng)的備份，單擊服務(wù)器所在行的“恢復(fù)”。恢復(fù)成功后，被勒索病毒攻擊的文件可正常打開。

結(jié)束

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。