Ransomware Protection - InterScan Messaging Security

勒索病毒可能經由郵件散播，該郵件夾帶著惡意的附件或在郵件本文的惡意網頁連結。

對於已知的勒索病毒，可由IMSVA的病毒掃描引擎(VSAPI)的病毒碼所偵測。對於已知的勒索病毒網址，可由IMSVA的網頁信譽評等服務(WRS)偵測分類為勒索病毒類型。IMSVA也可以使用複合式垃圾郵件防護引擎的Trend Micro Locality Sensitive Hash(TLSH)功能偵測勒索病毒。

對於未知的勒索病毒，它可能是執行檔或是微軟文件檔案中的巨集。IMSx系列的產品能夠對這些檔案進行處理行動，如：禁止巨集、阻擋exe類型的檔案，或傳送含有巨集的文件/執行檔到Deep Discovery Analyzer (DDAn)做進一步分析。

對於未知的勒索病毒或惡意網址，管理者或許可以參考以下步驟以增加安全性：

展開全部

IMSVA 9.0

增加顯示勒索病毒偵測結果項目

從組建編號(build) 1579 開始，IMSVA 9.0 增加了顯示勒索病毒偵測結果項目。如果您的 IMSVA 9.0 組建編號(build)小於 1579，您可以安裝 Hotfix 1579 或以上的版本以取得此功能。請依照下列步驟更新 Hotfix 1579，瞭解如何使用此功能。

下載 Hotfix 1579。關於這個 Hotfix 的詳細內容請參閱 readme 。
要更新這個 Hotfix 請經由IWSVA管理主控台 Administration > Updates > System & Applications.
在更新 Hotfix 之後，請清除您的瀏覽器快取以避免新增的勒索病毒儀表板小工具(wedget)出現顯示方面的問題。
將 “Ransomware Detections” 小工具新增到儀表板 (建議在 “Message Traffic” 項目分類中找到這個小工具):
1. 在管理主控台移動至 Dashboard > Message Traffic 標籤頁，並點選畫面右側的 Add Widgets 。
2. 輸入關鍵字"Ransomware Detections"進行搜尋，並勾選它。再點選 Add。
3. 這個 “Ransomware Detections” 儀表板小工具就會出現在 “Message Traffic” 標籤頁中。
在網頁主控台移動至 Logs > Query。 “Ransomware” 類別已經被加入 “Policy events” 項目中。它也包含四個子分類：Virus Scan、Spam Detection、Web Reputation和Virtual Analyzer。

啟動網頁信譽評等(WRS)

請參考 KB 1113896 以取得IMSx系列產品中，啟動網頁信譽評等的詳細資訊。

掌控巨集檔案

巨集病毒是一種最常見感染微軟文件的病毒之一。管理者或許可以參考 KB 1113805 如何IMSVA掌控巨集檔案。對於巨集病毒的檔案，最積極的作法是參考選項一(Option 1)直接從文件中剝離。如果已經整合DDAn，則建議參考選項二(Option 2)及選項三(Option 3)來掌控巨集檔案。

掌控執行檔

管理者可以直接阻擋執行檔 (請參考 KB 1099617) 或傳送執行檔到DDAn作進一步分析。 (請參考 KB 1114122)。

IMSVA 9.1

IMSVA 9.1 已經包含顯示勒索病毒偵測結果的功能。