DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

cdn防护_ddos攻击防御_精准

06-22 DDOS防御

cdn防护_ddos攻击防御_精准

勒索软件

勒索软件是2017年的头号网络安全威胁。WannaCry等事件的爆发在全球范围内造成了巨大损失。如果你想检测像WannaCry这样的勒索软件,你应该注意文件重命名的增加,并部署诸如IDS之类的技术来识别你的网络上的突发事件。

最近,勒索软件的锁定变体相关活动有所增加。骆家辉于2016年首次被发现,其首批受害者之一是加利福尼亚州洛杉矶的好莱坞长老会医疗中心。整个医疗中心的感染加密系统,将员工锁在电脑和电子记录之外。

最近的Locky活动看到,8月28日在美国各地发送了2300万条包含勒索软件的信息,这似乎是今年最大的恶意软件活动之一。

如果你想在电脑上发现Locky活动,你需要注意5个Locky指纹

网络,你需要注意这个活动。一些与洛克有直接联系,另一些则可疑,怎么使用ddos防御,需要检查。

以下每一项的进一步信息。

与洛克最新爆发相关的电子邮件活动使用以下主题行列表:

如果您拥有自己的电子邮件服务器,您应该监视所有SMTP服务器,并在检测到任何使用这些主题行的电子邮件时发出警报。一种方法是使用我们自己的LANGuardian产品从网络流量中提取电子邮件元数据,这些数据可以来自SPAN或镜像端口。下面的图片显示了一个你应该注意的例子。

这个锁爆发使用嵌入在zip电子邮件附件中的visualbasic脚本(VBS)文件。电子邮件中没有勒索软件代码。当用户打开附件时,VBS脚本会尝试连接到greatesthits.mygoldmusic.com域。从这里,它拉下锁定勒索软件,然后开始加密文件。您可以通过监视web或DNS流量来检查与此域关联的活动。也可以通过防火墙或代理日志来实现这一点,但请检查您的设备是否捕获了域名。

下面的图片显示了您应该注意的一个示例。在这里,我们可以看到一个客户端试图访问一个可疑的域,需要从网络上取下并进行检查。

一旦Locky的这个变体在网络上处于活动状态,它将查找本地文件夹和基于网络的文件共享。文件被加密,每个文件都附加一个Lukitus文件扩展名。确保您正在监视重要网络共享的所有活动。一种方法是监视进出文件服务器的网络流量。

下图显示了您需要注意的事项。与此事件相关的客户端需要从网络中删除,并检查是否存在勒索软件感染。

针对最终用户数据的勒索软件的所有变体都具有相同的属性,即获取用户数据,ddoscc防御,加密,然后使用新的文件扩展名重命名。在某些情况下,文件使用其原始文件名加密,但重命名操作仍会发生。

我们建议您经常监视所有网络共享上的文件重命名速率。一个好的起点是在任何情况下发出警报,其中文件重命名的次数超过每秒4次。我们的实验室分析表明,这是一个很好的指标,大规模重命名,这是典型的勒索软件。确保您的警报还包含与重命名相关的客户端IP地址,因为它们需要立即从网络中删除。

压缩文件(ZIP和其他文件)通常用于通过电子邮件发送恶意软件。如果附件有奇怪的文件扩展名,cdn高防和高防ip,许多电子邮件服务器会阻止附件。但是,如果恶意软件嵌入到ZIP文件中,ddos普通用户如何进行防御,它可以通过一些过滤器。大多数网络设备都能够打开ZIP文件,这就是为什么使用它们的原因。

如果您拥有自己的电子邮件服务器,高防服务器和高防cdn,我们建议您监视所有入站到您的网络的附件。一种方法是监视进出电子邮件服务器的网络流量。像我们自己的LANGuardian这样的系统可以从流量中提取附件名称,并提供可疑活动的报告和警报。

有关更多信息,请阅读这篇博客文章,其中介绍了5种检测勒索软件活动的方法。如果你今天需要进行监控;下载我们的LANGuardian产品的30天试用版,其中包括一个现成的勒索软件监控仪表板。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/70108.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9275991访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X