深信服勒索病毒防护解决方案

2022年初，深信服安服团队通过EDR高级威胁检测能力监测到某跨国企业终端有一系列异常行为。黑客通过密码暴破登录了一台端口暴露在公网上的sqlserver服务器，通过远程执行、运行CobaltStrike后门、持久化控制一系列行为控制服务器。凌晨黑客上传Killer.bat脚本进行删除系统的卷影备份，最后安装anydesk对服务器进行远程控制。安服团队结合EDR监测记录的这一系列行为分析此为勒索攻击，紧急联系用户远程排查后，确认服务器未被勒索，但还残留着后门进程，使用EDR进行查杀后，协助用户完成sqlserver的排查及加固，成功拦截了这次勒索攻击。

XX（集团）股份有限公司是一个以房地产开发为主营业务的上市公司，同时也是中国建设系统企业信誉AAA单位、国内标杆地产集团之一。因为勒索事件的爆发清晰的指出了用户在持续运营方面的不足，用户迫切的要加强安全运营建设，助力企业信息化的发展。深信服勒索防护方案基于“MSS+AF＋SIP＋EDR”的新一代威胁防护架构，依托安全运营中心（MSS）联动其余安全设备（AF、EDR等），通过设备联动并结合“人机共智”安全运营，对告警进行及时响应。提供7*24小时实时监测服务，并协助进行联动处置与智能安全决策，弥补安全能力的不足。实现集团业务的整体安全可视，防止内网存在残余病毒再次爆发。

2018年10月，用户紧急联系我司，因为病毒原因导致大片pc蓝屏，业务无法正常开展。接到应急请求后，深信服立即响应，两小时后便将安全感知、下一代防火墙、终端EDR部署至核心网络，相继检测出已失陷的250余台pc及20余台服务器。鉴于应急过程的良好表现，用户最终采用了安全感知+EDR+AF+勒索预防与响应服务的立体防护解决方案，云端安全服务做勒索风险排查及7*24小时的风险监测和协助闭环，安全感知平台对其全网进行威胁检测和定位，同时与深信服下一代防火墙、上网行为管理、EDR等产品进行联动，实现恶意软件、病毒外部通信的一键阻断，一键隔离，实现事件响应的半自动化管理。