跳至主内容

勒索软件缓解

勒索软件缓解 是一项旨在减轻活跃勒索软件攻击影响的功能。

当文件被加密时,文件的随机性(或熵值)会显著上升。勒索软件缓解功能通过监控磁盘文件及写入操作时的熵值变化来工作。当检测到文件加密请求(随机性超过特定阈值)时,系统会在内存中创建临时备份,并在文件变更完成后恢复原始文件。该方法不依赖卷影复制服务或其他静态备份方案——因为这些备份数据几乎总会被威胁行为者删除。删除卷影副本的请求正是触发EDR事件的条件之一。通过该技术,我们能够对从未见过的勒索软件变种也实现有效缓解。

勒索软件缓解 采用检测与修复技术保护数据免受勒索软件攻击。无论勒索软件已知或新型, GravityZone 均可检测异常加密行为并阻断进程,随后从备份副本恢复文件至原始位置。

安装与配置 勒索软件缓解功能

配置并启用功能

要配置 勒索软件缓解 :

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 策略 页面。

  3. 您可以:

  4. 反恶意软件 > 实时防护 下,确保 实时扫描 已启用。

  5. 反恶意软件 > 执行时扫描 下,确保 高级威胁控制 已启用。

  6. 仍在 执行时扫描 页面时,按以下步骤 启用并配置 该功能:

    1. 勾选 勒索软件缓解 复选框以启用该功能。

    2. 选择要使用的监控模式:

      • 本地模式 - GravityZone 监控进程并检测终端本地发起的勒索软件攻击。建议在工作站上使用。由于可能影响性能,在服务器上需谨慎使用。

        对于本地勒索软件缓解功能,管理员可配置Bitdefender安全策略来监控终端进程,并在自适应技术检测并拦截攻击后立即恢复加密文件。即使勒索软件成功加密了本地文件,缓解技术也会立即介入恢复这些文件—— 可通过自动恢复或管理员控制加密文件恢复时机的按需恢复来实现。

      • 远程模式 - GravityZone 监控对网络共享路径的访问,检测从其他机器发起的勒索软件攻击。若终端为文件服务器或启用了网络共享功能,请启用此选项。

        针对远程勒索软件防护,安全管理员可启用该技术以监控可远程访问的网络共享路径,防止文件被加密。远程终端上的用户代理会确认勒索软件防护已拦截远程恶意进程行为并保护了文件。Bitdefender管理员可快速运行审计报告,获取关于发起远程勒索攻击的IP地址及保护终端的安全模块的详细信息,还可在攻击被拦截时收到包含攻击者IP地址信息的邮件通知。

    3. 选择恢复方式:

      • 按需恢复 - 您需手动选择要恢复文件的攻击事件。可通过 报告 > 勒索软件活动 页面随时操作,但最迟不超过攻击发生后的30天。逾期后将无法恢复。

      • 自动恢复 - GravityZone 在检测到勒索软件后立即自动恢复文件。

      重要提示

      成功恢复需确保终端在线。

查看 勒索软件防护 活动

向您通报 GravityZone 在所管理终端上检测到的勒索软件攻击,并提供必要工具以恢复受攻击影响的文件。

该报告以独立页面形式存在于 控制中心 ,与其他报告分开,可直接从 控制中心 主菜单访问。

勒索软件活动 该页面包含一个表格,针对每起勒索软件攻击列出以下信息:

  • 遭受攻击的终端名称、IP地址及完整域名

  • 终端所属的公司

  • 攻击发生时登录的用户名

  • 攻击类型(本地攻击或远程攻击)

  • 本地攻击中运行勒索软件的进程名,或远程攻击的发起IP地址

  • 检测日期与时间

  • 攻击被阻断前已加密的文件数量

  • 目标终端上所有文件的恢复操作状态

部分信息默认隐藏。点击页面右上角的 显示/隐藏列 按钮可配置表格中需要显示的详细信息。若表格条目较多,可通过页面右上角的 显示/隐藏筛选器 按钮隐藏筛选条件。

点击文件数量可查看附加信息,包括原始文件与恢复文件的完整路径列表,以及所选勒索软件攻击涉及的所有文件恢复状态。

重要提示

备份副本最多保留30天。请注意文件可恢复的截止日期和时间。

恢复勒索软件加密文件的步骤如下:

  1. 在表格中选择目标攻击事件

  2. 点击 恢复文件 按钮,系统将弹出确认窗口

    恢复任务创建后,可通过 任务 页面查看进度(与 GravityZone .

若检测结果来自合法进程,请按以下步骤操作:

  1. 前往 策略 > 配置配置文件 页面,从左侧菜单进入 GravityZone 控制中心 .

  2. 确保您位于 排除项 标签页。

  3. 点击 添加排除项 按钮。

  4. 填写 所需详细信息。

  5. 点击 添加 .

    GravityZone 将应用所有可能的排除项:针对文件夹、进程和IP地址。

注意

勒索软件活动会保留两年的事件记录。

本节内容 :