2019中国网络安全年会｜美创“第59号”安全实验室携“防勒索方案”首次亮相-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

容灾演练双月报｜美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

2025-01-10

标准引领｜美创参编两项国家标准正式发布！

2025-07-03

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

建党节｜热烈庆祝中国共产党成立104周年！

2025-07-01

API 接口成“数据裸奔”通道？美创 API 审计：护航数据流转合规与安全

2025-06-25

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2019中国网络安全年会｜美创“第59号”安全实验室携“防勒索方案”首次亮相

发布时间：2019-07-19 阅读次数： 1029 次

勒索病毒自全面爆发以来，始终活跃在公众的视野，不断滋生的病毒变种所带来的破坏性威胁，更是成为民众和政企的噩梦。

那么，近几年，勒索病毒为何如此猖狂？当前勒索病毒究竟又迭代出哪些新的特征？在无数次病毒样本分析和攻与防的较量中，安全从业者又研究出哪些应对之策？

2019年7月，以“智能感知态势携手构建安全”为主题的2019中国网络安全年会在广州召开。360集团主办的网络安全应急响应分论坛上，美创科技“第59号”安全实验室，首次对外亮相。

会上，安全实验室负责人王月兵就《基于勒索病毒特点，构建新一代防御体系》发表主题演讲，深度剖析了勒索病毒的前世今生、大行其道之由，并分享美创科技对勒索病毒的防御对策。

一、勒索病毒剖析

2017年，美创“第59号”安全实验室成立，不仅见证了“蠕虫”式勒索病毒软件攻击事件的持续发酵，也在此后不断对无数勒索病毒的行为特点进行持续追踪和研究。

关于勒索病毒的演进历程，王月兵介绍道，如果没有2017年 WannaCry 的忽然爆发，或许，很多用户对勒索病毒还是会一无所知。但事实上，勒索软件作为一种极其简单粗暴的恶意代码，具有很长的历史。

（勒索软件演变历程）

近些年，比特币等数字货币的盛行、高强度加密算法不断成熟、勒索即服务市场的出现，才使勒索病毒攻击开始趋于常态化，横行全世界。随着互联网技术的发展，勒索病毒日益呈现出以下特征：

1、传播场景更加多样

过去勒索病毒传播主要以钓鱼邮件为主，现在勒索病毒更多利用了高危漏洞、鱼叉式攻击，或水坑攻击等非常专业的黑客攻击方式传播。

2、攻击目标更加精确

相对于广撒网方式，目前，定向攻击植入勒索病毒的事件逐渐增多。攻击者越来越倾向于涉及大量隐私数据、且在安全能力和意识上存在明显短板的行业。

3、更新迭代更加快速

从实验室近期捕获的勒索病毒样本来看，各大勒索病毒家族每隔一段时间就会出现一个新版本，有的修改加密算法，增加了加密速度，有的为了对抗查杀，做了免杀、反调试、反沙箱，并且后缀也会随之改变。

二、基于勒索病毒特点，构建新一代防御体系

勒索病毒正在成为数字业务的主要威胁之一。其攻击手段不断升级，将导致每一家企业都可能成为攻击目标。

在以往的黑客攻击案例中，攻击目标主要集中于加密文档、图片等个人数据，但“贪得无厌”的黑客，逐渐将攻击目标转移到了企业，除了常见的企业终端（ATM机、自助加油机等）、业务文档等攻击目标，针对数据库的勒索病毒也开始“大行其道”，成为近来勒索病毒目标的延伸。

从病毒行为上看，无论是已知病毒还是未知病毒都离不开最终对文件的破坏这一行为。对此，美创抓住这个特征，推出专门针对勒索病毒的“主动式防御”解决方案——诺亚防勒索+数据库防水坝+容灾备份。

1、诺亚防勒索系统：打破传统杀毒软件基于黑名单（病毒库来防护和查杀）机制，结合独特的底层白名单技术，确保只有被允许的合法操作才能被执行，一切未被允许的操作都被禁止，避免勒索病毒对文件的加密和修改。

2、数据库防水坝：数据库内的勒索病毒，主要通过SQL语句的执行加密数据库内数据，因此，可通过数据库权限分离、登录双因素认证、敏感SQL执行拦截进行防御。

3、容灾备份：通过全业务容灾、数据级容灾、数据复制、实时备份、云灾备等技术手段，最大程度保障业务系统、数据库、操作系统、虚拟机等场景下数据安全和业务连续性。

三、从实例出发，解读诺亚防勒索安全之道

最后，王月兵以某港口多次遭到勒索攻击，但均未成功的真实案例出发，解读诺亚防勒索如何帮助用户摆脱勒索病毒的困扰。

案例：某港口多次被勒索病毒攻击，均未成功。

背景：

（1）该港口十分重视自身的防勒索安全建设，并在重要数据的服务器和PC都部署了美创“诺亚”防勒索系统。

（2）3月23号，自动化攻击上传payload.exe，诺亚防勒索第一时间拦截并隔离。

（3）4月26号18:00，黑客远程登录客户服务器，手工上传并执行payload.exe，诺亚防勒索第一时间拦截并隔离，黑客上传并执行PChunter.exe，尝试杀掉诺亚防勒索进程，诺亚防勒索第一时间拦截并隔离。

王月兵表示，目前，对于已知病毒的防范，大多企业都会采用安装系统补丁、升级杀毒软件病毒库、利用防火墙端口控制将445端口隔离等手段进行防护。不可否认，这些措施是有效果的。

但对于未知病毒的防范却一直以来都是难点，基本上所有中招的单位也大多是未知勒索病毒。

这是由于很多安全设备检测方式主要基于静态特征（即黑名单）检测，只有当能够侦测并捕获到勒索软件疫情并将其加入黑名单后，才能有效地拦截病毒。然而，勒索软件新变种不断产生，以及利用漏洞来避免被识别，甚至拥有自我保护机制，这使得传统基于特征码的防护方式效用大减。

而诺亚防勒索系统基于零信任体系构建，并不关心病毒特征，也为无论该病毒是否潜藏在系统中，未经过授权的应用都无法对受保护的文件和数据进行加密或破坏，从根本上对勒索病毒说不。

据悉，此次2019中国网络安全年会聚集了来自全国党政机关、重要信息系统、企业、行业协会、高校和科研院所等单位代表两千余人，多位院士、资深专家剖析全球网络安全形势、各大知名网络安全机构和企业负责人详解各关键性网络安全问题。

关于2019中国网络安全年会

2019（第十六届）中国网络安全年会于7月17日-18日在广州举行。本届会议旨在深入贯彻落实国家关于网络强国的重要思想，加强全国网络安全应急体系建设，促进政府部门、重要信息系统单位与网络安全产业界间的交流，聚集国内外网络安全工作新趋势、新问题、新思路，同时普及宣传网络安全及网络安全应急工作知识，提升社会网络安全意识。

上一条：当最繁忙的港口遭遇“勒索风暴”三次突袭后······
下一条：用“免疫学原理”解“防勒索难题”？重庆市某三甲医院这样答