安恒EDR多層級防護，阻斷疑似用友軟件導致的勒索攻擊

近日，因疑似用友組件漏洞導致勒索病毒爆發的新聞在網上廣為流傳，并且已經有生產制造企業反饋已經被感染，導致業務中斷并被索賠1.5枚比特幣。隨后用友官網發布了注意防范勒索病毒的公告。

經安恒安全工程師對現場的排查及分析，該勒索事件有極大可能是通過軟件供應鏈污染的方式進行投毒。在對惡意樣本的運行分析后，明確安恒EDR可以針對該勒索行為及投遞文件進行發現和查殺。

安恒EDR除了能夠精準查殺本次突然爆發的該類型勒索病毒外，其針對于勒索病毒的事中防御也同樣能夠幫助用戶終端“免受加密”，當攻擊者通過類似此次事件中的利用漏洞或其他繞過防御的方式進行“勒索投毒”之后，仍可憑借“勒索誘餌防護引擎”與“勒索行為防護引擎”在事中針對勒索病毒的加密行為進行有效防護，及時中止勒索行為。

勒索誘餌防護引擎

針對勒索病毒遍歷文件實施加密的特點，在終端關鍵目錄下放置誘餌文件，當有勒索病毒嘗試加密誘餌文件時及時中止進程，阻止勒索病毒的進一步加密和擴散。

勒索行為防護引擎

通過分析常見的勒索軟件樣本，總結了樣本具有的共性特征形成了引擎行為庫，系統API級別分析，有效抵御經過變種的未知類型勒索病毒。

本次出現的勒索再次為廣大終端用戶敲響警鐘，在如今復雜的網絡安全態勢下勒索防御任重而道遠，打造完善、專業的勒索防護流程至關重要！