概要
趨勢科技Deep Security可以透過多種方式避免伺服器受到勒贖病毒的影響,Deep Security主要透過以下方式進行防護:
- Anti-Malware 利用雲端數據庫以及Smart Protection來防止惡意程式攻擊伺服器
- Network security 使用intrusion prevention來避免利用系統漏洞而進行安裝或執行的惡意程式
- System security 透過integrity monitoring避免惡意程式變更系統預設值(例如Windows registry)
- Web Reputation 可以阻擋已知的惡意URL連結
詳情
Deep Security的intrusion prevention (IPS)功能 針對勒贖病毒防護有以下規則清單:
注意:此列表為本篇文章發佈時的最新版本,趨勢科技的防護團隊一直在嘗試增強防護能力,因此該列表會隨著時間的推移而增加
Intrusion Prevention (IPS)
Deep Security 檢測並阻止來自網際網路的惡意程式命令以及C&C連線,這些IPS Rule並不是專注於Domain 以及 IP位置,而是透過掃描網路封包檢查勒贖病毒使用的通訊技術
Network File Share Protection
Deep Security提供以下IPS Rule 針對勒贖病毒,對於網路磁碟共享的加密技術進行防護(Windows 或 Linux – Samba)
- 規則名稱 1007596-Identified Suspicious Rename Activity Over Network Share
大多數情況下並不能阻止勒贖病毒的加密行動,此規則會監控勒贖病毒常在使用加密副檔名(例如zzz、encryptedRSA、crypt、etc等等)該規則會檢查大約50種副檔名,並且還提供了排除某些副檔名的功能
規則的預設值如下:- Detect-only
- Recommended on windows computers
- 規則名稱: 1007598 - Identified Suspicious Rename Activity Over Network Share
此規則可保護伺服器不受到來自於感染勒贖病毒的用戶端影響並可以監視和限制網路的檔案變更。具體來說,此規則可防止特定時間內文件的多次重新命名 當受感染的的電腦在T1秒內進行重新命名N次時,此規則會在T2秒限制任何命名動作- Detect-only
- 不建議使用預設值,建議手動分配
- N=0, T1=0, T2=0 (no action by default)
- 規則名稱: 1008679 - Identified BADRABBIT Ransomware Propagation Over SMB
此規則主要避免" BADRABBIT Ransomware " 透過SMB進行橫向擴散
