關(guān)于Petya勒索病毒防范 長亭科技給出最佳方案

　　6月28日火線消息，席卷全球的勒索病毒又來了，為什么說又?因?yàn)橐粋�(gè)半月前的5月12日，WannaCry蠕蟲通過MS17-010漏洞(即NSA泄露的危險(xiǎn)漏洞“EternalBlue”——中文譯名：永恒之藍(lán))在全球范圍大爆發(fā)，感染了大量的計(jì)算機(jī)，該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。后續(xù)統(tǒng)計(jì)數(shù)據(jù)顯示：至少150個(gè)國家、30萬名用戶中招，造成損失達(dá)80億美元，已經(jīng)影響到金融，能源，醫(yī)療等眾多行業(yè)，造成嚴(yán)重的危機(jī)管理問題。中國部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作，影響巨大。

　　而此次襲擊烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國的Petya勒索病毒，采用了WannaCry 的傳播機(jī)制。與WannaCry不同的是，Petya勒索病毒還可以通過Office文檔的形式傳播(利用Office RTF漏洞——CVE-2017-0199 )。在用戶下載并閱讀文檔的過程執(zhí)行病毒，同時(shí)可利用SMB漏洞傳播到同一網(wǎng)絡(luò)上的其余機(jī)器上。據(jù)了解，以上多國政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場都不同程度的受到了影響。截至目前，騰訊電腦管家官微披露，國內(nèi)已有用戶中招。

　　鑒于全球各大安全公司基本上都已經(jīng)發(fā)布了一遍該病毒的技術(shù)分析，在此不加累述(反正都差不多就是告訴你病毒是怎么完爆你的)。應(yīng)對(duì)方式也大同小異無外乎就是打補(bǔ)丁、備份、停止或禁用服務(wù)器的WMI服務(wù)、更改弱口令和空口令、不打開未知鏈接和文件、關(guān)閉TCP135端口、使用各家特供版的免疫工具……呃，是不是感覺又是“亡羊補(bǔ)牢”的老一套?跟老叫你多喝熱水的男朋友一樣令人倒胃口?那么，有沒有一種一勞永逸的辦法，徹底告別勒索病毒的威脅?

　　答案?先買個(gè)關(guān)子，大家聽我講個(gè)故事先。在國貿(mào)上班的小張加班到深夜，突然郵箱彈出一封標(biāo)題火爆到不可描述的郵件，列位看官猜猜小張點(diǎn)開后該郵件后會(huì)發(fā)生什么?沒錯(cuò)，這是一封打開就會(huì)自動(dòng)運(yùn)行病毒的釣魚郵件，假設(shè)該病毒正是Petya勒索病毒，而小張公司只是個(gè)幾十人的公告公司，沒有專門的網(wǎng)絡(luò)安全防護(hù)工作人員，公司的幾十臺(tái)電腦也因?yàn)槟承┎豢擅枋龅脑�因而沒打補(bǔ)丁。當(dāng)病毒遇上不設(shè)防的電腦，這還有什么說的天雷勾地火爆炸吧小宇宙，感染了小張電腦的Petya立馬火力全開不停歇的掃描區(qū)域網(wǎng)內(nèi)的其它電腦。于是，第二天上班后，所有電腦開機(jī)后桌面都變成了烏克蘭副總理同款，驚喜不驚喜意外不意外?

　　第二個(gè)假設(shè)是如果該公司裝了長亭科技旗下的諦聽內(nèi)網(wǎng)威脅感知系統(tǒng)，第一個(gè)假設(shè)就會(huì)被第二個(gè)假設(shè)吃掉。因?yàn)殚L亭諦聽能夠快速發(fā)現(xiàn)內(nèi)網(wǎng)安全事件，通過協(xié)同分析和應(yīng)急反饋，有效幫助用戶快速實(shí)施針對(duì)性防御措施，保護(hù)用戶的企業(yè)信息資產(chǎn)遠(yuǎn)離威脅。這些威脅自然包含借助各種Windows及其軟件漏洞傳播的WannaCry、Petya……及更多惡意未知威脅。

　　敢起名為《西游記》中能識(shí)別真假美猴王的地藏王坐下神獸“諦聽”，讓我們看看長亭諦聽內(nèi)網(wǎng)威脅感知系統(tǒng)有何過人之處。

　　一、難知如陰——高交互蜜罐，高度偽裝

　　長亭諦聽內(nèi)網(wǎng)威脅感知系統(tǒng)會(huì)以偽裝技術(shù)為基礎(chǔ)，在用戶內(nèi)部網(wǎng)絡(luò)中部署與真實(shí)資產(chǎn)相似的高交互式蜜罐節(jié)點(diǎn)，這些蜜罐節(jié)點(diǎn)對(duì)攻擊者有極大迷惑性，有助于企業(yè)及時(shí)預(yù)警發(fā)現(xiàn)內(nèi)網(wǎng)威脅。

　　二、凝神諦聽——實(shí)時(shí)監(jiān)測，快速響應(yīng)

　　長亭諦聽內(nèi)網(wǎng)威脅感知系統(tǒng)通過蜜罐節(jié)點(diǎn)反饋的大量日志信息，將形成精準(zhǔn)的告警信息并通知用戶，讓用戶第一時(shí)間感知到APT攻擊等高級(jí)入侵行為。大量部署的蜜罐節(jié)點(diǎn)，組成蜜罐網(wǎng)絡(luò)，有效的誘騙攻擊、檢查威脅，構(gòu)建內(nèi)部響應(yīng)網(wǎng)，快速檢測APT攻擊、自動(dòng)化網(wǎng)絡(luò)僵尸攻擊等。

　　三、火眼金睛——預(yù)警難以發(fā)現(xiàn)的入侵

　　攻擊手段越高明，其隱蔽性就越高。例如，APT攻擊前期會(huì)融合進(jìn)目標(biāo)系統(tǒng)，在收集信息時(shí)不會(huì)采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng)。以往的內(nèi)網(wǎng)防護(hù)產(chǎn)品很難發(fā)現(xiàn)這樣的潛伏，攻擊和威脅可能在用戶環(huán)境中存在一年以上。長亭諦聽內(nèi)網(wǎng)威脅感知系統(tǒng)利用高仿真蜜罐實(shí)時(shí)監(jiān)測，可以及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)異常，第一時(shí)間發(fā)現(xiàn)高級(jí)入侵行為(包括利用0day漏洞入侵的行為)。

　　四、窮寇必追——回溯攻擊方法和意圖

　　在構(gòu)建的欺騙環(huán)境中檢測到攻擊方的探測與攻擊行為之后，蜜罐節(jié)點(diǎn)將捕獲威脅行為數(shù)據(jù)，監(jiān)控和記錄攻擊方在蜜罐欺騙環(huán)境中進(jìn)行的所有攻擊行為，為追溯與分析安全威脅提供基礎(chǔ)數(shù)據(jù)支持。

　　五、八面玲瓏——彈性部署，支持集中管理

　　長亭諦聽內(nèi)網(wǎng)威脅感知系統(tǒng)在完成首次部署后，即可進(jìn)入工作狀態(tài)。網(wǎng)絡(luò)安全管理員通過管理后臺(tái)查看安全事件的全局統(tǒng)計(jì)信息、各蜜罐節(jié)點(diǎn)的服務(wù)狀態(tài)、管理和分析敏感安全事件。支持傳統(tǒng)數(shù)據(jù)中心和云計(jì)算中心(阿里云、AWS)部署、支持根據(jù)用戶實(shí)際情況部署大量蜜罐節(jié)點(diǎn)、支持對(duì)蜜罐進(jìn)行集中管理、支持部署和管理上千子網(wǎng)。

　　六、溫潤如玉——無需管理，易于維護(hù)

　　長亭諦聽內(nèi)網(wǎng)威脅感知系統(tǒng)采用長亭云進(jìn)行云端管理，無需用戶人工介入。云端對(duì)蜜罐服務(wù)進(jìn)行監(jiān)控、管理、更新。諦聽的系統(tǒng)升級(jí)由云端自動(dòng)推送，安全有效，極大地降低維護(hù)成本。

　　而且，它還有免費(fèi)版可以申請(qǐng)，步驟如下：

　　1、打開長亭科技管網(wǎng)https://chaitin.cn，會(huì)看到以下界面：

　　點(diǎn)擊“獲取長亭諦聽(免費(fèi)版)”按鈕。

　　2、微信掃描網(wǎng)頁二維碼，注冊長亭云賬號(hào)，等待審核通過。

　　這一步請(qǐng)確保：企業(yè)名稱填寫完整、企業(yè)郵箱與企業(yè)名稱相符、個(gè)人信息真實(shí)。長亭的工作人員會(huì)及時(shí)進(jìn)行企業(yè)信息審核，并在第一時(shí)間發(fā)送通知郵件。

　　3、下載安裝文件，閱讀使用文檔，即可使用長亭諦聽(免費(fèi)版)，使用者可部署兩個(gè)偽裝節(jié)點(diǎn)來記錄攻擊信息。

　　是不是簡單多了?再也不用為嚇?biāo)缹殞毜睦账鞑《径�頭疼了?那還等什么，趁著這次的Petya勒索病毒還未在我國范圍內(nèi)大規(guī)模爆發(fā)，自用的同時(shí)也給身邊的朋友普及一下，從而避免遭受來自Web層面的位置惡意攻擊，避免不必要的損失。