深信服EDR作为业界领先的终端安全防护产品,已经帮助众多客户成功抵御勒索病毒攻击,成为终端安全的坚实防护屏障。现在我们通过几个典型案例来了解深信服EDR在勒索病毒防护方面的卓越能力。
案例一:广州某科技股份公司
【项目背景】
客户旗下拥有多家业务子公司,在国内和海外均设有技术服务中心。内部有几百台的服务器需要保护,版本为Windows2016和CentOS 7.x。由于近期有不少企业爆发勒索病毒事件,客户因为网络安全建设的需求,有计划采购终端安全的产品。客户想保护核心的服务器和部分终端,主要防御从工厂攻击到服务器的SMB暴破和勒索病毒。
【深信服EDR勒索防御表现】
1.成功处置GandCrab5.2勒索病毒:客户监控到内网有大量445非法连接,根据端口找到占用445的程序为mssecsvc.exe,然后直接通过EDR下发扫描出GandCrab 5.2勒索病毒,成功处置清理了勒索病毒,及时防止勒索病毒的扩散和加密,避免了重要业务的停工。
2.客户高度认可:客户在同时测试深信服EDR产品与友商产品时,友商的产品没有SMB暴力破解检测功能,出现过防护失败的情况,而深信服EDR具有更强的勒索病毒识别检测能力,勒索防护能力得到实战验证,客户更加认可深信服EDR的能力。
案例二:某国际知名家庭用品公司
【项目背景】
客户是大型家庭用品公司,其业务遍布全国,员工规模数千人。
2019年6月份,客户内部服务器出现服务器不能访问现象,登陆服务器查看,服务器被加密,勒索病毒种类为Crysis勒索病毒家族,众多生产服务器受影响,产线停产。
【深信服EDR勒索防御表现】
1.成功处置Crysis勒索病毒:安装两家友商产品的终端均有被加密,对生产造成严重影响。深信服EDR技术团队在确认内网主机加密现象后,给客户部署了深信服EDR,成功防御了勒索病毒,并成功清除母体文件。
2.客户高度认可:国内某友商的产品虽然在部分终端有弹出拦截窗口,但文件等已被加密,卡住不动无法执行,此外只安装友商产品的所有终端均被勒索加密!而安装了EDR的主机和服务器均未感染勒索病毒,对勒索病毒进程phexec2.exe进行自动查杀,通过深信服EDR的勒索诱捕功能成功防御勒索并病毒,使客户的PC不受影响,获得客户高度认可。
案例三:大连某集团公司
【项目背景】
客户是大型国有控股公司,在8月份这段时间发现病毒泛滥,经排查,发现有内部文件中了勒索病毒。
【深信服EDR勒索防御表现】
通过深信服EDR查看病毒事件相关详情,定位和获取感染文件信息;
通过感染文件分析,成功追溯到病毒文件;
对病毒文件样本进行分析,确认是勒索病毒,使用EDR进行全网隔离处置,成功帮助客户解决问题。
案例四:某知名在线游戏公司
【项目背景】
客户是知名的在线游戏开发和运营商, 8月份,客户发现大量服务器和PC被Sodinokibi勒索病毒加密,且在同一vlan下,根据实际情况得知,该 vlan为一个分支。
【深信服EDR勒索防御表现】
深信服EDR团队确认这是一次勒索病毒事件,对受感染服务器以及主机已经断网处理,发现主机存在暴力破解的痕迹, 结合该勒索病毒家族为 Sodinokibi家族,初步判断为RDP暴力破解,EDR安全团队快速响应,使用EDR成功帮客户清理勒索病毒,防止被再次感染。
以下是具体的勒索病毒处置过程:
Step 1,对所有被感染服务器进行断网处理,并在整个内网使用EDR的微隔离开启了封堵3389和445的策略,针对PC端用户第一时间断开网络,及时遏制风险扩散。
Step 2,与客户同步感染情况,当时暂时未发现其余服务器或PC受到勒索病毒影响。
Step 3,客户针对被感染服务器与主机重装系统,深信服EDR团队配合客户对重装的纯净主机及未感染的主机安装EDR终端检测响应产品,有效的防止再次被黑客攻破。
截止至今,使用深信服EDR防护的终端未发现二次感染的情况,并且开启了webshell、暴力破解、微隔离、勒索诱捕功能对勒索病毒进攻的整个路径进行层层阻断,有效遏制病毒扩散和二次感染。
【小结】
深信服EDR在防御勒索病毒方面的表现受到越来越多用户的认可,在当前未知病毒不断演化、高级威胁持续产生的大环境下,深信服EDR将不断聚焦最前沿的探索,给客户的终端安全保驾护航。