如何防范勒索软件利用IntelSecurity产品防范当.PDFVIP

技术简介 如何防范勒索软件 利用 Intel® Security 产品防范当今勒索软件威胁 勒索软件是一种恶意软件，这种恶意软件利用非对称加密来劫持受害者的信 息，从而索要赎金。非对称（公钥-私钥）加密是一种使用一对密钥来加密和 解密文件的加密技术。这个公钥-私钥对是由攻击者专门针对受害者生成的， 私钥用于解密存储在攻击者服务器上的文件。仅当受害者支付赎金之后，攻击 者才让受害者拿到私钥，但情况并非总是如此，比如最近发生的勒索软件活 动。在无权访问私钥的情况下，几乎不可能解密被劫持以进行勒索的文件。 勒索软件存在众多变体。勒索软件以及其他恶意软件通常借助垃圾电子邮件营销活动或定向攻击来分 发。Intel® Security 产品采用了大量有助于防范勒索软件的技术。以下 McAfee® 产品以及相关配置旨在 阻止许多类型的勒索软件。 McAfee VirusScan® Enterprise 8.8 或 McAfee Endpoint Security 10 ■ 保证 DAT 文件处于最新状态。 ■ 确保 McAfee Global Threat Intelligence (McAfee GTI) 已启用；McAfee GTI 包含800 多万 唯一的勒索软件特征码。 ■ 建立访问保护规则来阻止安装勒索软件负载：请参阅访问保护规则知识库文章：KB81095 和KB54812。 McAfee Host Intrusion Prevention ■ 观看有关如何配置 Host Intrusion Prevention 以防范 CryptoLocker 负载的视频。 ■ 启用 Host Intrusion Prevention 签名3894 ，Access Protection—Prevent svchost.exe executing non-Windows executables （访问保护可阻止 svchost.exe 执行非 Windows 可执 行文件）。 ■ 启用 Host Intrusion Prevention 签名6010 和6011 可立即阻止注入。 技术简介 McAfee Host Intrusion Prevention 规则 McAfee Host Intrusion Prevention 支持对文件的创建、读取、写入、执行、删除、重命名、属性修改 和硬链接创建进行监控。定义您需要或不需要发出警报的文件路径/类型，以及任何您希望纳入的可执 行文件（已知不良源）或排除的可执行文件（已知误报创建者）。该规则可能具有侵入性，因此可考虑 在信息/ 日志模式下在试用期使用规则。注意，文件保护规则需要建立您受信任的应用程序数据库。 Rule:Cryptolocker—block EXE in AppData Rule type: files Operations: create, execute, write Parameters: ■ Include: Files:**\AppData\*.exe ■ Include: Files:**\AppData\Local\*.exe ■ Include: Files:**\AppData\Roaming\*.exe Executables: Include *.* 注意，以下示例由于空间限制省略了许多文件扩展名。务必为您的应用程序检查所有适用的文件扩展名。 Rule { tag “Blocking a Non-Trusted program attempt to write to protected data file extensions” Class Files Id 4001 level 4 files {Include “*\\*.3DS” “*\\*.7Z” “*\\*.AB4” “*\\*.AC2” “*\\*.ACCDB” “*\\*. ACCDE” “*\\*.ACCDR” “*\\**.ACCDT” “*\\*.ACR” “*\\*.ADB” “*\\*.AI” “*\\*. AIT” “*\\*.al” “*\\*.APJ” “*\\*.ARW” “*\\*.ASM” “*\\*.ASP” “*\\*.BACKUP” “*\\*. BAK” “*\\*.BDB” “*\\*.BGT” “*\\*.BIK” “*\\*.BKP” “*\\*.BLEND” “*\\