使用
Symantec Endpoint Protection
和 Symantec Endpoint Security 进行勒索软件缓解和防护

什么是勒索软件?

勒索软件是一种恶意软件类别,其加密文档,使其无法使用,但却让计算机的其余部分可以访问。勒索软件攻击者试图强制要求受害者通过专门说明的付款方式支付赎金,然后可能会、也可能不会向受害者授予访问数据的权限。
定位勒索软件比原始的勒索软件攻击更为复杂,涉及的不只是初始感染。攻击者通过以下各种分发方式来找到更多敲诈受害组织的方法:
  • 网络钓鱼
    :发送给员工并伪装成工作通讯的电子邮件。
  • 恶意广告
    :攻克媒体网站以投放恶意广告,恶意广告中包含基于 JavaScript、称为 SocGholish 且伪装成软件更新的框架。
  • 漏洞攻击
    :攻击在公共服务器上运行的易受攻击的软件。
  • 二次感染
    :利用预先存在的僵尸网络,以在受害者网络中获得立足点。
  • 安全性较差的服务
    :利用泄露或弱的凭据,通过不安全的 RDP 服务攻击组织。

使用
Symantec Endpoint Protection Manager
或 Symantec Endpoint Security 防御勒索软件

目标性勒索软件攻击可以细分为以下大致阶段:初始破解、权限提升和凭据盗窃、内网漫游以及加密和删除备份。最佳防御是阻挡许多类型的攻击,并知道大多数网络犯罪集团使用的攻击链以确定安全优先级。很遗憾,无法使用删除工具解密勒索软件。
Symantec Endpoint Protection Manager
或 Symantec Endpoint Security 上,部署并启用以下功能。默认情况下,某些功能已启用。
功能
Symantec Endpoint Protection
Symantec Endpoint Security
基于文件的防护
Symantec 隔离以下类型的文件:Ransom.Maze、Ransom.Sodinokibi 和 Backdoor.Cobalt。
默认情况下,病毒和间谍程序防护已启用。
阻止和处理病毒和间谍软件对客户端计算机的攻击
默认情况下,反恶意软件策略已启用。
SONAR
SONAR 基于行为的防护是防御恶意软件的另一种重要措施。SONAR 可阻止勒索软件变体(如 CryptoLocker)的两个可执行文件名运行。
在病毒和间谍程序防护策略中,单击“
SONAR
”>“
启用 SONAR
”(默认已启用)
管理 SONAR
在反恶意软件策略中,单击“
启用行为分析
”(默认已启用)
下载智能分析或强防护
修改 Symantec Insight 以隔离尚未被 Symantec 客户群证明安全的文件。
下载智能分析是默认
病毒和间谍软件 - 高安全性
策略的一部分
下载智能分析始终处于启用状态,并且是
强防护
策略的一部分。要修改强防护设置,请参阅:
入侵防护系统 (IPS)
  • IPS 可阻止传统病毒定义无法单独阻止的某些威胁。IPS 是防御偷渡式下载的最佳措施,这种下载会无意中从 Internet 下载软件。攻击者通常会利用套件通过偷渡式下载传送基于 Web 的攻击(如 CryptoLocker)。
  • 在某些情况下,IPS 可以通过中断命令和控制 (C&C) 通信来禁止文件加密。C&C 服务器是由攻击者或网络罪犯控制的计算机,用于向受恶意软件攻克的系统发送命令,并从目标网络接收盗取的数据。
  • URL 信誉
    根据网页的信誉分数防御网络威胁。“
    启用 URL 信誉
    ”选项会禁止信誉分数低于特定阈值的网页。(14.3 RU1 及更高版本)
启用网络入侵防护或浏览器入侵防护
默认情况下,“URL 信誉”已启用。
入侵防护入门
默认情况下,“URL 信誉”未启用。
阻止 PDF 文件和脚本
在"例外"策略中,单击“
Windows 例外
”>“
文件访问
”。
使用允许列表和拒绝列表来阻止已知恶意文件和域。单击“
设置
”>“
拒绝列表和允许列表
”。
下载 Web 应用程序框架、Web 浏览器以及 Web 浏览器插件的最新修补程序。
  1. 使用“应用程序与设备控制”来阻止应用程序在用户配置文件目录下运行,如 Local 和 LocalLow。勒索软件应用程序自行安装到除 Local\Temp\Low 之外的许多目录中。
  2. 使用端点检测和响应 (EDR) 识别有勒索软件行为的文件:
    1. 禁用 MS Office 文件中通过电子邮件传播的宏脚本。
    2. 右键单击检测到的端点,然后选择“
      隔离
      ”。要从控制台隔离和重新加入端点,您必须在 Symantec Endpoint Protection Manager 中有分配给主机完整性策略的隔离防火墙策略。
  • 发现扫描 - 云控制台提供您的环境中显示的文件、应用程序和可执行文件的全面视图。您可以查看与这些已发现项目关联的风险、漏洞、信誉、来源以及其他特征的相关信息。
  • 启用 EDR 时使用已发现项目;SES 上的发现代理类似于 SEP 上的未受管检测器,但代理提供有关单个文件和应用程序的更多详细信息。
  • “应用程序控制”控制和管理您的环境中对垃圾和未授权应用程序的使用。SES 上的“应用程序控制”功能与 SEP 上的不同。
    应用程序控制入门
    • 对于 Symantec Agents 14.3 RU1 及更高版本,请将“行为隔离”用于不使用“应用程序隔离”和“应用程序控制”的端点。“行为应用程序隔离”策略确定如何处理受信任应用程序可能执行的可疑行为。在策略中有新的行为特征或已有行为特征时,您会在云控制台中得到警报,在策略中收到消息。您可以确定行为是否是对文件攻击的结果,并对此指定操作。
Symantec Endpoint Security 完整版中的功能
网络流量重定向和 Web 安全服务
使用网络流量重定向和安全连接设置,以便无论是在公司网络上还是在家中还是外出,端点都能够与 Symantec Web Security Service (WSS) 集成。NTR 将客户端上的 Internet 流量重定向到 Symantec WSS,在这里可基于 WSS 策略允许或禁止流量。
内存漏洞利用缓解
防护未修补软件(如 JBoss 或 Apache Web 服务器)中的已知漏洞,攻击者会利用这些漏洞。
AMSI 和无文件扫描
第三方应用程序开发人员可以保护其客户免受基于脚本的动态恶意软件和非传统网络攻击方式的侵扰。第三方应用程序会调用 Windows AMSI 接口,以请求扫描用户提供的脚本,扫描任务将路由到 Symantec Endpoint Protection 客户端。客户端会做出裁定响应,指明脚本行为是否为恶意行为。如果不是恶意行为,则继续执行脚本。如果是恶意脚本行为,则应用程序不会运行该脚本。在客户端上,“检测结果”对话框会显示“拒绝访问”状态。第三方脚本的示例包括 Windows PowerShell、JavaScript 和 VBScript。必须启用自动防护。这项功能适用于 Windows 10 及更高版本的计算机。
14.3 及更高版本
不可用。
端点检测和响应 (EDR)
EDR 专注于行为而不是文件,并可以强化对鱼叉式网路钓鱼和就地取材 (living-off-the-land) 工具利用的防御。例如,如果在客户环境中 Word 通常不启动 PowerShell,则应将其置于禁止模式。通过 EDR 的用户界面,客户可以轻松了解哪些行为常见而应允许,哪些行为可看到但仍应需要警报,以及哪些行为不常见而应被阻止。您还可以应对缺口,作为调查和响应突发事件警报的一部分。突发事件警报将显示被视为部分违反的所有行为,并让您直接从突发事件详细信息页面中将其置于禁止模式。
Symantec Endpoint Security 完整版中的功能。
基于 AI 的防护
Symantec 的目标攻击云分析利用高级机器学习来发现与目标攻击相关联的活动模式。
Symantec Endpoint Security 完整版中的功能。
使用审核工具可帮助您在勒索软件有机会传播之前深入了解公司网络内外的端点。
  • 如果客户端检测到可疑文件风险高或非常高,则其将在“
    我的任务
    ”选项卡上显示 90 天,以供您处理。
  • 如果设备检测到生成恶意流量的文件,则会在“
    我的任务
    ”选项卡上显示 90 天,以供您处理。
  • 要测试误报,可以更改内存漏洞利用缓解行为,以便其审核检测,但允许应用程序运行。
  • Playbooks 是预先配置的工作流,允许您管理和保护您的环境的设备。

缓解勒索软件的最佳做法

加固针对勒索软件的防御环境
除了启用 SEP 或 SES 防护之外,要避免勒索软件感染,请执行以下步骤。
步骤 :
说明
1. 保护您的本地环境
  1. 确保您拥有最新版本的 PowerShell
    ,并且您已启用日志记录。
  2. 限制对 RDP 服务的访问。
    仅允许特定已知 IP 地址的 RDP,确保使用多重身份验证。使用文件服务器资源管理器 (FSRM) 锁定在需要用户写入访问权限的文件共享上写入已知勒索软件扩展的能力。
  3. 创建计划以考虑通知外部方
    。 为了确保对正确通知必要的组织(如 FBI 或其他执法部门/机构),请务必制定计划进行验证。
  4. 创建包含所有关键管理信息的硬副本和存档软副本的“应急包”
    。为了防止此关键信息的可用性被危及,请将其存储在带有问题故障排除所需硬件和软件的应急包中。网络文件被加密时,在网络上存储此信息没有什么用。对管理帐户的使用实施适当的审核和控制。您还可以针对管理工作实施一次性凭据,以帮助防止管理凭据被盗窃和使用。
  5. 创建管理工具的使用情况配置文件
    。攻击者使用许多上述工具在网络中漫游而不被发觉。在少数系统上以管理员身份运行 PsInfo/PsExec 的用户帐户可能还好,但是在所有系统上运行 PsInfo/PsExec 的服务帐户便非常可疑。
2. 保护您的电子邮件系统
  1. 启用双重身份验证 (2FA),以防在在网络钓鱼攻击中泄露凭据。
  2. 加固电子邮件系统的安全体系结构
    ,以最大限度减少进入最终用户收件箱的垃圾邮件数量,并确保对您的电子邮件系统采用最佳做法,包括使用 SPF 和其他防护措施来防御网络钓鱼攻击。
3. 备份
定期备份客户端计算机和服务器上的文件。请在计算机脱机时备份文件,或者使用联网计算机和服务器无法写入的系统。如果您没有专用的备份软件,也可以将重要文件复制到可移动介质中。然后弹出并拔掉可移动介质;切勿使可移动介质保持插入状态。
  1. 对备份副本实施异地存储
    。安排异地存储至少四周的每周完全备份和每日增量备份。
  2. 实施现场脱机备份
    。确保您有未连接到网络的备份,以防止被勒索软件加密。最好在系统未连接网络时执行删除,以防止威胁的任何潜在传播。
  3. 验证并测试服务器级备份解决方案。
    这应该已是灾难恢复流程的一部分。
  4. 保护好备份和备份数据库的文件级权限。
    防止您的备份被加密。
  5. 测试还原功能。
    确保还原功能支持业务需求。
通过密码和访问控制限制措施来保护映射网络驱动器以将其锁定。对网络驱动器上的文件设置只读访问权限,除非确实需要对这些文件进行写入。限制用户权限将限制可被威胁加密的文件。

如果感染勒索软件,应该怎么办?

没有勒索软件删除工具。没有安全产品可以解密勒索软件加密的文件。如果您的客户端计算机已感染勒索软件,而数据已被加密,请按照下列步骤进行操作:
  1. 请勿支付赎金。
    如果支付赎金:
    • 无法保证攻击者会通过一种方法来解锁您的计算机或解密您的文件。
    • 攻击者会利用赎金来发起更多攻击并危害其他用户。
  2. 在勒索软件攻击可访问的网络驱动器之前,请将受感染计算机隔离。
  3. 使用
    Symantec Endpoint Protection Manager
    或 SES 更新病毒定义并扫描客户端计算机。
    新定义有可能检测到并处理勒索软件。只要客户端受管理并连接到管理服务器或云控制台,
    Symantec Endpoint Protection Manager
    便会自动将病毒定义下载到客户端。
    • Symantec Endpoint Protection Manager
      中,单击“
      客户端
      ”,右键单击该组,并单击“
      对组运行命令
      ”>“
      更新内容并扫描
      ”。
    • 在 Symantec Endpoint Security 中,运行“
      立即扫描
      ”命令。
      在客户端设备上运行命令
  4. 使用干净安装重新安装。
    如果从备份还原加密的文件,则可以得到还原的数据,但在攻击过程中可能安装了其他恶意软件。
  5. 将恶意软件提交至赛门铁克安全响应中心。
    如果可以确定恶意电子邮件或可执行程序,请将其提交至赛门铁克安全响应中心。这些样本可以帮助 Symantec 创建新的特征并加强对勒索软件的防御。