产品概述
威努特主机防勒索系统是基于主动防御理念打造专门防范勒索病毒的终端安全产品,产品深度结合操作系统底层驱动技术,检测勒索病毒恶意行为、保护核心业务免遭中断、恢复恶意加密的系统数据,实现事前防御、事中检测/阻断、事后恢复的勒索病毒综合防范能力。
产品特点
⚫ 多层次纵深防御
威努特主机防勒索系统具备的检测、防护、恢复能力,对勒索Cyber-Kill-Chain完整覆盖,检测、防护、恢复能力形成多层次纵深防御能力,事前保护系统业务、事中发现勒索病毒并阻断、事后基于备份数据恢复业务,多层次技术手段的综合应用,具备强大的勒索病毒防范能力。
⚫ 勒索病毒精准识别
防勒索系统部署的静态诱饵会被勒索病毒视为系统文件,进而无差别的恶意加密,动态诱饵投递技术确保诱饵文件第一个被勒索病毒加密,进而精准、无误报的识别勒索病毒。
⚫ 内核级勒索防范
勒索病毒调用操作系统内核指令,执行中止进程、遍历文件、加密数据等恶意行为,威努特主机防勒索系统检测、防护、恢复功能构建于操作系统内核驱动层,对系统进程、文件操作、网络行为进行管控,实现勒索病毒的内核级防范。
⚫ 主动防御无惧“变种”
威努特主机防勒索系统基于关键业务保护、核心数据保护以及数据备份恢复等主动防御技术,结合不依赖勒索病毒特征库的恶意行为监测与阻断技术,有效防范已知或未知勒索病毒,无惧勒索病毒“变种”。
⚫ 备份恢复“风险兜底”
人为误操作或恶意操作导致的安全风险无法避免,防勒索系统基于信息熵、方差值完成文件加密情况的判断,确保备份数据纯净可用,实现操作系统、应用数据的安全备份和快速恢复,完成勒索病毒攻击后的“风险兜底”。
功能规格
勒索病毒诱捕
⚫ 支持静态诱饵功能,在系统桌面、系统文档、C盘根目录等关键路径生成诱饵文件
⚫ 诱饵文件类型应包括数据库、文本、文档、音频、视频、图片、工程文件等类型
⚫ 支持诱饵文件动态投递,快速精准发现勒索病毒的恶意破坏行为
⚫ 支持诱饵文件的拷贝、修改、删除、更改文件名、更改后缀名、写入等行为的动态监测和阻断
关键业务保护
⚫ 支持系统运行进程的自动检测及一键添加至保护列表
⚫ 支持数据库、系统服务、邮件、绘图、财务管理软件、办公软件等常见业务进程的保护,包括agntsvc、dbeng50、dbextclr11、dbsnmp、dbsrv12、encsvc、fdhost、fdlauncher、GDScan、infopath、isqlplussvc、msaccess、msftesql等
⚫ 支持跨进程退出、强行终止、线程远程创建、内存区域修改等恶意行为的监测和阻断数据备份恢复
⚫ 支持应用数据文件的自动备份
勒索行为监测
⚫ 支持侵入提权阶段漏洞利用、权限提升、进程注入恶意行为监测
⚫ 支持攻击准备阶段磁盘遍历、进程中止、服务清除恶意行为监测
⚫ 支持备份破坏阶段卷影删除、备份删除、禁用修复恶意行为监测
⚫ 支持恶意加密阶段文件加密、引导加密恶意行为监测
⚫ 支持恶意破坏阶段修改密码、破坏引导恶意行为监测
⚫ 支持横向扩散阶段网络枚举、漏洞传播恶意行为监测
核心数据保护
⚫ 内置常见应用进程及应用数据类型,保护应用数据文件免遭恶意破坏
⚫ 支持数据库、文档、图片、音频、视频、网页等常见应用数据类型的保护,包括.rar、.zip、.7z、.csv、.cpp、.php、.jsp、.a
sp、.h、.cs、.java、.mdb、.sql、.der、.xml
⚫ 支持备份应用数据的安全加密存储,可避免被勒索病毒等恶意程序篡改
⚫ 支持基于信息熵、方差值、文件名、后缀名对备份数据加密情况检查
⚫ 支持备份的应用数据类型应包括图像、文档、数据库 、 音 频 、 网 页 、 压 缩 包 等 , 至 少 包括.x3f、.txt、.tiff、.tif、.rtf、.rdp、.ptx、.pst、
.png、.pfx、.crt、.cer、.bmp、.ai、.pem、.pef等 、.json、.doc、.html、.htm、.docx等
⚫ 支持应用数据文件打开、写入、删除、拷贝、修改安全属性等非授权行为的监测和阻断
系统兼容性
⚫ 系统CPU平均占用不超过8%
⚫ 系统内存平均占用不超过80M
⚫ 支持Win XP、WinVista、Win7、Win8、Win10、Windows2008 Server、Windows2012 Server等微软操作系统
系统兼容性
Windows
Win XP SP2、Win XP SP3、Win Vista、Win7、Win8、Win10
Windows2008 Server、Windows2012 Server、Windows2016 Server
应用场景
⚫ 终端/服务器应用数据防勒索方案
威努特主机防勒索系统建立系统中应用与数据访问关系模型,阻断勒索病毒对应用数据的读写删改,在任何可疑操作前完成数据自动备份,并对备份数据严密保护,勒索攻击发生后,可基于备份数据快速恢复系统业务,保护终端/服务器中文档、数据库、工程文件、音频、图像、视频、配置文件免遭勒索软件恶意加密。
⚫ 工业生产系统防勒索方案
威努特主机防勒索系统基于指令类型以及指令来源(跨进程/跨地址空间访问)进行识别,针对勒索病毒非法的进程终止行为进行拦截,保持工业监控系统进程的持续运行和应用数据的持续占用,确保工业应用数据如数据库、工程文件无法被加密,保障工业现场生产系统的稳定性和控制的连续性。
