跳至主内容

勒索软件缓解

勒索软件缓解 该功能旨在减轻活跃勒索软件攻击的影响。

文件被加密时,其随机性(或熵值)会显著上升。勒索软件缓解功能通过监控磁盘文件及写入操作中的熵值变化来实现防护。当检测到文件加密请求(随机性超过阈值时),系统会在内存中创建临时备份,并在文件修改完成后自动恢复原始文件。值得注意的是,该方法不依赖卷影复制服务或其他静态备份方案——因为威胁行为者通常会删除这类备份数据。事实上,删除卷影副本的请求正是触发EDR事件的条件之一。通过这种技术,我们能为未知勒索软件变种也提供防护。

勒索软件缓解 采用检测与修复技术保护数据免受勒索软件攻击。无论勒索软件已知或未知, GravityZone 检测异常加密尝试并阻断该进程。随后,从备份副本中恢复文件并将其还原至原始位置。

安装与配置 勒索软件防护

配置并启用功能

要配置 勒索软件缓解 :

  1. 登录 GravityZone 控制中心 .

  2. 进入 策略 从左侧菜单进入页面。

  3. 您可以:

  4. 反恶意软件 > 实时防护 下,确保 访问时扫描 已启用。

  5. 反恶意软件 > 执行时防护 下,确保 高级威胁防护 已启用。

  6. 仍在 执行时防护 页面时,按以下步骤 启用并配置 该功能:

    1. 勾选 勒索软件缓解 复选框以启用功能。

    2. 选择要使用的监控模式:

      • 本地 - GravityZone 监控进程并检测终端本地发起的勒索软件攻击。建议在工作站上使用。由于性能影响,在服务器上需谨慎使用。

        对于本地勒索软件缓解,管理员可配置Bitdefender安全策略以监控终端进程,并在自适应技术检测并拦截攻击时立即恢复加密文件。即使勒索软件成功加密本地文件,缓解技术也会立即介入恢复这些文件,既可自动执行也可按需操作——管理员可控制加密文件的恢复时机。

      • 远程 - GravityZone 监控网络共享路径的访问,检测从其他机器发起的勒索软件攻击。若终端为文件服务器或启用了网络共享,请使用此选项。

        对于远程勒索软件缓解,安全管理员可启用该技术来监控可远程访问的网络共享路径,防止文件被加密。在远程终端上,用户代理会确认勒索软件缓解已拦截远程恶意进程行为并保护文件。Bitdefender管理员可快速运行审计报告,获取有关远程勒索软件攻击发起IP地址和保护终端的安全模块的更多信息,还可在攻击被拦截时收到包含攻击者IP地址信息的邮件通知。

    3. 选择恢复方式:

      • 按需恢复 - 您手动选择需要恢复文件的攻击。可通过 报告 > 勒索软件活动 页面随时操作(最迟不超过攻击发生后30天)。逾期后将无法恢复。

      • 自动恢复 - GravityZone 在检测到勒索软件后立即自动恢复文件。

      重要提示

      要成功恢复文件,终端必须保持在线状态。

查看 勒索软件缓解 活动

向您通报 GravityZone 在您管理的终端上检测到的勒索软件攻击,并提供必要工具以恢复受攻击影响的文件。

该报告以独立页面形式存在于 控制中心 ,与其他报告分开,可直接从 控制中心 主菜单访问。

勒索软件活动 页面包含一个表格,针对每起勒索软件攻击列出以下信息:

  • 受攻击端点的名称、IP地址和完全限定域名

  • 该端点所属的公司

  • 攻击期间登录的用户名

  • 攻击类型(本地攻击或远程攻击)

  • 本地攻击中运行勒索软件的进程,或远程攻击中发起攻击的IP地址

  • 检测日期和时间

  • 攻击被阻断前已加密的文件数量

  • 目标端点上所有文件的恢复操作状态

部分详细信息默认隐藏。点击页面右上角的 显示/隐藏列 按钮可配置表格中要显示的详细信息。若表格条目较多,可通过点击页面右上角的 显示/隐藏筛选器 按钮隐藏筛选条件。

点击文件数量可查看附加信息,包括原始文件与恢复文件的完整路径列表,以及所选勒索软件攻击涉及的所有文件恢复状态。

重要提示

备份副本最多保留30天。请注意文件仍可恢复的截止日期和时间。

恢复勒索软件加密文件的步骤如下:

  1. 在表格中选择所需攻击事件

  2. 点击 恢复文件 按钮,将弹出确认窗口

    系统将创建恢复任务。您可在 任务 页面查看其状态,如同查看 GravityZone .

若检测结果源自合法进程,请按以下步骤操作:

  1. 前往 策略 > 配置档案 页面(通过 GravityZone 控制中心 .

  2. 确保当前处于 排除项 标签页。

  3. 点击 添加排除项 按钮。

  4. 填写 所需详细信息。

  5. 点击 添加 .

    GravityZone 将应用所有可能的排除项:针对文件夹、进程及IP地址。

注意

勒索软件活动会保留两年事件记录。

本节内容 :