万物皆可卷，勒索病毒也秉承着“宁可累死自己，也要饿死同行”的心态，在比拼加密速度这条路上加速进化。

窃取数据作为勒索病毒终极目标，病毒加密速度越快，上传速度越快，意味着过程中被用户发现和阻止的机会就越少。老牌病毒Lockbit更新至2.0版本后，就宣称是世界上加密最快的勒索软件，能够在20分钟之内就可窃取100GB数据，是普通勒索病毒加密速度的3倍以上，且具备在域控内自动传播的能力。

而对应着加密环节的事中防护阶段，无论是基于勒索诱饵、还是基于动态行为识别勒索加密动作，均是在勒索病毒进程启动后进行的检测，在这期间勒索病毒极有可能已经加密了少量客户文件。

因此，勒索防护一方面需要在事中实现勒索执行的秒级阻断，自动化防护，让其像杀毒一样简单；另一方面，对于防护期间，勒索病毒可能已经加密的客户文件，需要对应的恢复手段。

 

02勒索病毒至暗时刻！勒索防护全新思路

应对勒索病毒不断演进带来的以上新挑战，深信服aES重磅出击，发布勒索高度自动化防护功能，内置静态+动态勒索行为AI引擎和3s动态备份机制，有效解决各种防御绕过型攻击，让勒索防护和病毒查杀一样省心可靠。

 

勒索静态AI检测，精准识别变种

勒索病毒由于攻击门槛逐渐降低、攻击入口增加导致勒索病毒变种发展迅猛，这非常考验终端防护产品对未知勒索威胁的检测能力。

深信服aES通过SAVE 3.0强泛化文件检测引擎升级，增强AI泛化能力，对可疑文件进行多重AI检测，提升对未知威胁的检测能力，同时对判黑的威胁文件通过可拔插式AI判别是否为勒索病毒。

通过对抗性AI训练，深信服aES对勒索的精准率已提升到99.47%（数据来自于千里目安全技术中心内部测评）。用户可直观地掌握内网终端是否中了勒索病毒，影响范围有多大，快速采取响应措施。

 

勒索AI动态行为检测，防绕过

白利用逐渐成为近两年勒索入侵的新型方式，黑客使用注入工具对白进程（系统、业务相关进程）注入勒索病毒，随着这类白进程运行，勒索病毒也在后台运行起来，快速加密。传统杀软对此无计可施。

深信服上线“勒索行为AI引擎”，实现自动阻断，遏制勒索蔓延。无论是加白的白进程、抑或是系统业务相关的默认可信进程，AI行为引擎都会监测其运行起来后的实际行为，研判是否为可疑的勒索行为。通过采集其一系列可疑操作行为（如注册表修改、执行命令、释放文件、创建进程等），针对不同勒索家族类型的攻击步骤进行关联分析，构建定制化攻击事件链条。若在端侧匹配到相应攻击模式，则能够实现勒索加密发生前对勒索病毒的阻断。即使是“白进程”，也能依靠AI行为引擎通过行为监测，第一时间阻断勒索加密行为。

攻击模式抽取

 

为了保障行为引擎研判精准度，我们将AI行为引擎放入勒索病毒专项训练集里。通过对主流勒索病毒加密行为的学习、检测、打分，以及用户操作系统进程调用的API序列、进程动作序列、文件操作行为序列，结合专家知识完成可疑行为模式筛选，最终实现勒索行为的高精度识别。

 

防勒索动态备份机制，做兜底

如上图所示，aES数据智能备份机制并非是全盘备份，而是配合勒索行为AI引擎经过巧妙设计按需触发。这样既可以保障备份检测阻断的窗口期被加密的少量文件，还能确保最小的系统资源消耗。

aES在终端Agent和管理平台MGR都提供了备份恢复、查询备份区功能，让用户能够自主选择文件进行恢复。当然用户也可以自定义的选择配置策略控制备份文件大小、类型、备份空间等。

 

aES国内率先应用勒索AI行为防护模型，截止到8月份线上累计发现客户侧真实防住勒索事件破百起，其中勒索行为AI模型成功防护住90%白利用类型勒索案例。国内率先实现事中防护阻断一系列Tellyouthepass勒索攻击（其中多起0 day和n day漏洞利用进行边界突破），实现基于AI的终端高精准检测、高自动化防御，真正捍卫用户终端安全。

致力于让所有用户安全领先一步，aES创新不止，进步不停。目前，深信服aES已经赢得各级政府单位、医院、教育行业用户、能源行业用户和大型企业等众多用户的认可，部署端点超过1500W+。大量用户的认可也验证了aES所带来的价值！