勒赎软体的防护策略---OfficeScan的建议设定.PDFVIP

2015 年 11 月9 日 勒贖軟體的防護策略OfficeScan 的建議設定 趨勢科技最近又發現一波新的勒贖軟體攻擊事件。勒贖軟體會將電腦上的檔案加密，被 加密的檔案則無法開啟或使用。與之前的勒贖軟體相同，此惡意程式會將自己偽裝成 Email 附加檔案，也有可能直接從網路上下載來；除此之外，感染勒贖病毒的電腦，會尋找網路芳 鄰的共享資料夾或是網路磁碟機，若具有寫入權限的話，也會將這些共享資料夾或是網路磁 碟機上的檔案進行加密。部分客戶反映因使用者電腦上C 磁 碟機沒有設定存取限制，因此 整個C 磁碟機遭到感染勒贖病毒的電腦加密。趨勢科技在此提醒您，切勿輕易執行來源不 明的檔案。請您隨時保持您的趨勢科技產品病毒碼在最新版本，以維持最完善的防護。 若您目前使用 OfficeScan 可參考下列建議設定，透過Officescan 防護功能避免感染勒 索軟體: 1. 使用雲端掃描： 雲端掃描功能提供更高的偵測率和病毒碼更新頻率，因為勒贖軟體更新的速度很快，所 以相較於傳統掃描模式，使用雲端掃描可以更快取得最新病毒碼來偵測攔截這些惡意程式。  掃描方法的切換可在『OfficeScan 主控台 代理程式 代理程式管理，在點選 需要切換的群組/代理程式後，點選設定 掃描方法』中進行設定。 2. 啟動網頁信譽評等服務： 對辦公室內部和外部的OfficeScan 代理程式啟動網頁信譽評等服務(WRS) ，這個功能有 助於防止用戶端電腦瀏覽到含有勒贖軟體的惡意網站。  此功能可在『OfficeScan 主控台 代理程式 代理程式管理，在點選需要切換 的群組/代理程式後，點選設定 網頁信譽評等』中進行設定。  啟用『封鎖包含惡意程式檔的網頁』功能以識別網路瀏覽器弱點攻擊和惡意程式檔， 並避免使用這些威脅入侵網路瀏覽器。 3. 啟動行為監控： OfficeScan 行為監控功能可透過主動雲端截毒技術驗證從 HTTP 通道或電子郵件應用 程式下載檔案的普遍程度，以抵禦全新的、不明的和新興的安全威脅。  請登入『OfficeScan 管理主控台 代理程式 全域代理程式設定』，在行為監 控設定區塊中，啟用功能『在執行經由 HTTP 或電子郵件應用程式下載之新發現的 程式之前，先提示使用者』，並進行部署： 透過OfficeScan 11.0 sp1 的新增功能加強勒贖軟體防護： 勒索軟體安全防護: 加強的掃瞄功能可透過識別常見行為和封鎖通常與勒索軟體程式關 聯的程序，來識別和封鎖針對在端點上執行的文件的勒索軟體程式。OfficeScan 11.0 SP1 中文版下載連結 。  設定方請切換至『代理程式 代理程式管理，選擇需要開啟的群組/代理程式』， 點選設定 行為監控設定，請啟用對已知和潛在安全威脅啟動『惡意程式行為封 鎖』，並選擇『已知和潛在安全威脅』。  於勒索軟體防護設定部分，啟用功能『保護文件以防止未經授權的加密或修改』、 『封鎖常與勒索軟體相關的程序』。 4. 設置可疑連線設定 OfficeScan 可以記錄代理程式與全域 CC IP 清單中的位址之間建立的所有連 線。此外，『可疑連線設定』畫面也可讓您記錄，同時也可讓您存取使用者定 義的封鎖 IP 清單中設定的 IP 位址。 OfficeScan 也可以監控可能由僵屍網路或其他惡意程式威脅產生的連線。偵測 到惡意程式威脅後，OfficeScan 可嘗試清除感染。  切換至代理程式 代理程式管理，選擇需要開啟的『群組/代理程式』，點選設定 其他服務設定，請將『可疑連線服務』功能勾選啟用。 完成後請點選設定 可疑連線設定，請啟用『記錄與全域 CC IP 清單中位址之間建 立的網路連線』及『使用惡意程式網路特徵鑑別的紀錄檔連線』並勾選『偵測到CC 回呼 時清除可疑連線』。 [趨勢科技技術支援聯絡方式]  企業授權用戶技術專線: Tel: 886-2-2377-2323  Web mail : .tw/corpmail/  產品技術問題請至