明朝万达推出Chinasec（安元）数据安全保镖全方位防护勒索病毒

　　中新网11月15日电 今年5月WannaCry 勒索病毒在全球范围内大面积肆虐，该病毒利用 NSA 黑客工具包中的“永恒之蓝”0day 漏洞，通过445端口(文件共享)在内网进行蠕虫式感染传播，百余个国家的网络和重要数据遭到破坏。国内同样出现了大量感染该病毒的 IP ，保守估计超过30万台终端和服务器受到感染，几乎覆盖了全国所有地区。

　　今年6月在 WannaCry 勒索病毒阴霾还未完全消散时，一个名为 Petya 的最新勒索病毒再度肆虐全球。今年10月新型变种勒索病毒 BadRabbit 来袭。

　　针对勒索类病毒，国内外网络信息安全公司陆续提出多种解决方案。目前方案可以分为三类。第一类是病毒预警，病毒查杀：此类解决方案以勒索病毒的预警、查杀为核心思路，防止终端电脑感染勒索病毒。此思路的优势是针对已知的病毒可以进行最有效的预防和阻断。缺点是针对未知的病毒，缺乏相应的防护能力。第二类是文档备份，文档恢复：此类解决方案的核心是针对重要文件进行备份防护，以及针对已经被勒索病毒感染的文件尝试解密恢复。不论是文档的备份还是解密受感染的文件，此思路都属于事后处理，难以弥补病毒造成的危害。第三类是主动防御，彻底阻断：此类解决方案的立意是彻底阻断 WannaCry 这一类勒索病毒对文档造成的破坏性危害，不论病毒如何变异，以及不需要对文件进行大批量的备份操作，就能避免勒索病毒造成的影响。

　　基于“主动防御，彻底阻断”的思路，北京明朝万达科技股份有限公司经过深入分析病毒运作机制，结合国内当前实际现状，推出了针对性的勒索病毒防护产品——Chinasec(安元)数据安全保镖。

　　通过分析病毒本身的执行过程得知，勒索病毒对文件进行加密的前提是必须拥有文件的编辑权限。对于文件的编辑权限，windows 提供了两层管理机制：第一层是基于windows 用户的管理，鉴于目前终端基本都是最高权限，病毒可以直接利用此权限进行破坏；第二层是进程对文件的权限，当进程对文件进行操作时，我们可以对其操作权限进行控制。基于此原理，数据安全保镖产品将重要路径下的文件与合法进程绑定，只有合法进程才能够拥有文件的所有操作权限，非法进程无法对目标文件进行编辑，继而达到防止勒索病毒进程对文件进行破坏的目的。

　　主动防御机制：产品基于勒索软件对文件的操作行为出发，摒弃传统针对病毒特征繁琐的侦测判定方法，禁止了一切可疑进程对文件的操作，无论是已知病毒或是未知病毒，都无法对文件造成损害。

　　防护效果无关文件类型：产品基于针对防护路径做有效防护，而无关路径下的文件格式。对于特殊的文件格式，无需进行针对性的适配。

　　操作便捷：无需关闭端口、频繁打补丁以及改变防火墙参数，通过简单的策略设置便可达到防御效果。

　　定义防护路径：产品支持将本地的一条或多条重要路径设置为被保护路径，也可以将需要保护的文件放到防护路径中，可以控制防护路径的启停用。

　　定义合法进程：本产品对于进程白名单的定义提供自动和手动两种机制。自动定义是指系统自动识别当前电脑上运行了所有的已知合法应用，并批量添加到进程白名单中。手动定义是对自动定义的补充和调整，当自动定义的进程中含有过多冗余或者某个合法进程没有启动的时候，可以通过手动的方式进行删除或者新增。

　　防护效果：用户对防护路径和进程白名单设置完成后，白名单中的进程拥有对已启动的防护路径下文件的所有操作权限；非白名单进程拥有防护路径下文件的读权限，无其他权限。勒索病毒进程即使访问路径下文件，由于没有文件的操作权限，也不会导致文件被非法加密的后果，从而达到防勒索病毒的目的。

　　日志记录：通过日志审计展示可疑进程访问防护路径文件的记录，可以将其中的可信进程添加到进程白名单。

　　明朝万达将凭借技术优势，继续深化数据安全垂直解决方案，深耕数据安全在公安等各行业及业务领域的应用，形成以数据为中心的产业链闭环。

相关链接：