勒索病毒可能會透過電子郵件進行傳播,方法是透過附加到電子郵件中或是在電子郵件內文裡以惡意 URL的方式呈現。
對於病毒碼檔案中已被定義的已知勒索病毒,DDEI可正常地將其偵測為病毒。
勒索病毒可能會是exe執行檔、script腳本檔案或是文件檔中的巨集。
對於未知的勒索病毒或惡意URL,管理者應將該可執行檔或Office文件提交給沙箱進行分析。
針對未知的勒索病毒檢測功能進行改善
- 前往 Administration > Scanning / Analysis > Virtual Analyzer Images 並確保沙箱平台已準備就緒。
- 前往 Administration > Scanning / Analysis > Virtual Analyzer Settings.
- 在”Files”的部分,選擇 select Highly suspicious files and specified file types (forced analysis).
-
在"File types"下,選取OFFICE 與 WIN_EXE* 兩個項目,並點擊 Add 將兩項目加入到"File types to force analyze"清單中。
Click image to enlarge.
- 儲存設定
提高針對勒索病毒檢測的可見度
從Build1336開始,DDEI2.5新增了針對勒索病毒檢測的可見度的功能。若您的DDEI2.5版本低於1336,您可已安裝HotFix Build 1336 或更高的版本更新包來取得此功能。
按照以下步驟更新HotFix Build 1336,並了解如何使用勒索病毒檢測可見度功能。
- 下載Hot Fix Build 1336. 有關此修補程序的詳細資訊,請參閱 Readme .
- 前往DDEI主控台中 Administration > Product Updates > Hot Fixes / Patches來安裝此Hotfix。
-
此Hotfix安裝完畢後,前往Management console > Dashboard > Threat Monitoring 您便可從Advanced Threat Indicators 此widget中查看到關於勒索病毒偵測資訊。
Click image to enlarge.
-
管理者可以點擊數字來查看詳細的偵測紀錄。
Click image to enlarge.
針對未知的勒索病毒檢測功能進行改善
- 前往 Administration > Scanning / Analysis > External Integration 並確保沙箱平台設定正確並正常運行。
- 前往 Administration > Scanning / Analysis > Settings.
-
透過點擊文件類型列表中間的”>”(大於符號),來將 Windows executables*、Scripts 和 Office with Marcos 加入到 "Always analyze"清單中。
Click image to enlarge.
- 儲存設定
-
前往DDEI主控台> Dashboard > Threat Monitoring,您便可從Advanced Threat Indicators 此widget中查看到關於勒索病毒偵測資訊。
Click image to enlarge.
-
管理者可以點擊數字來查看詳細的偵測紀錄。
Click image to enlarge.
針對未知的勒索病毒檢測功能進行改善
- 前往 Administration > Scanning / Analysis > External Integration 並確保沙箱平台設定正確並正常運行。
- 前往 Administration > Scanning / Analysis > Settings.
-
透過點擊文件類型列表中間的”>”(大於符號),來將 Windows executables*、Scripts 和 Office with Marcos 加入到 "Always analyze"清單中。
Click image to enlarge.
- 儲存設定
-
前往 Management console > Dashboard > Threat Monitoring 您便可從Advanced Threat Indicators 此widget中查看到關於勒索病毒偵測資訊。
Click image to enlarge.
-
管理者可以點擊數字來查看詳細的偵測紀錄。
Click image to enlarge.
針對未知的勒索病毒檢測功能進行改善
- 前往 Administration > Scanning / Analysis > External Integration 並確保沙箱平台設定正確並正常運行。
- 前往 Administration > Scanning / Analysis > Settings.
-
透過點擊文件類型列表中間的”>”(大於符號),來將 Windows executables*、Scripts 和 Office with Marcos 加入到 "Always analyze"清單中。
Click image to enlarge.
- Save the changes.
