跳至主内容

勒索软件缓解

勒索软件缓解 是一项旨在减轻活跃勒索软件攻击影响的功能。

当文件被加密时,其随机性(或熵值)会显著上升。勒索软件缓解功能通过监控磁盘文件及写入操作时的熵值变化来检测异常。当检测到文件加密请求(随机性超过特定阈值时),系统会在内存中创建临时备份,并在文件修改完成后恢复原始文件。该方法不依赖卷影复制服务或其他静态备份方案——因为威胁行为者通常会删除此类备份数据。删除卷影副本的请求正是EDR事件触发器之一。通过这种技术,我们能够防范包括未知变种在内的各类勒索软件攻击。

勒索软件缓解 采用检测与修复技术保护数据免受勒索软件侵害。无论已知或新型勒索软件, GravityZone 均可识别异常加密行为并阻断进程,随后从备份副本中恢复文件至原始位置。

安装与配置 勒索软件缓解

配置并启用该功能

要配置 勒索软件缓解 :

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 策略 页面。

  3. 您可以:

  4. 反恶意软件 > 实时防护 ,请确保 实时扫描 功能已启用。

  5. 反恶意软件 > 执行时扫描 下,确保 高级威胁控制 功能已启用。

  6. 仍在 执行时扫描 页面时,按照以下步骤 启用并配置 该功能:

    1. 勾选 勒索软件缓解 复选框以启用该功能。

    2. 选择您要使用的监控模式:

      • 本地 - GravityZone 监控进程并检测终端本地发起的勒索软件攻击。建议在工作站上使用。由于性能影响,在服务器上需谨慎使用。

        对于本地勒索软件缓解,管理员可配置Bitdefender安全策略以监控终端进程,并在自适应技术检测并拦截攻击时立即恢复加密文件。即使勒索软件成功加密本地文件,缓解技术也会立即介入恢复这些文件, 恢复方式可以是自动或由管理员控制加密文件恢复时机的按需恢复。

      • 远程 - GravityZone 监控对网络共享路径的访问,检测从其他机器发起的勒索软件攻击。若终端为文件服务器或启用了网络共享,请使用此选项。

        对于远程勒索软件缓解,安全管理员可启用该技术以监控可远程访问的网络共享路径,防止文件被加密。在远程终端上,用户代理会确认勒索软件缓解已拦截远程恶意进程行为并保护了 文件。Bitdefender管理员可快速运行审计报告,获取有关发起远程勒索攻击的IP地址及保护终端的安全模块的详细信息,还可在攻击被拦截时收到包含攻击者IP地址信息的邮件通知。

    3. 选择恢复方法:

      • 按需恢复 - 您可手动选择需要恢复文件的攻击事件。操作入口位于 报告 > 勒索软件活动 页面,您可在任意方便时间处理(最迟不超过攻击发生后30天)。逾期后将无法恢复。

      • 自动恢复 - GravityZone 会在检测到勒索软件后立即自动恢复文件。

      重要提示

      成功恢复需确保终端设备在线。

查看 勒索软件防护 活动

该功能向您展示 GravityZone 在托管终端上检测到的勒索软件攻击,并提供必要工具以恢复受攻击影响的文件。

本报告以独立页面形式存在于 控制中心 ,与其他报告分开显示,可直接通过 控制中心 主菜单访问。

勒索软件活动 页面包含一个数据表格,每起勒索软件攻击均显示以下信息:

  • 受攻击终端的名称、IP地址及完整域名

  • 终端所属公司

  • 攻击发生时登录的用户名

  • 攻击类型(本地攻击或远程攻击)

  • 本地攻击中勒索软件运行的进程名称,或远程攻击中发起攻击的IP地址

  • 检测日期和时间

  • 攻击被阻断前已加密的文件数量

  • 目标终端上所有文件的恢复操作状态

部分详细信息默认隐藏。点击页面右上角的 显示/隐藏列 按钮可配置表格中需要显示的字段。若表格条目过多,可通过页面右上角的 显示/隐藏筛选器 按钮隐藏筛选条件。

点击文件数量可查看附加信息,包括原始文件与恢复文件的完整路径列表,以及所选勒索软件攻击涉及的所有文件恢复状态。

重要提示

备份副本最多保留30天。请注意文件可恢复的截止日期和时间。

恢复勒索软件加密文件的步骤如下:

  1. 在表格中选择需要处理的攻击事件

  2. 点击 恢复文件 按钮,系统将弹出确认窗口

    恢复任务创建后,可通过 任务 页面查看进度(与 GravityZone .

若检测结果来自合法进程,请按以下步骤操作:

  1. 通过 策略 > 配置档案 页面(位于 GravityZone 控制中心左侧菜单) .

  2. 确保您位于 排除项 标签页。

  3. 点击 添加排除项 按钮。

  4. 填写 所需详细信息。

  5. 点击 添加 .

    GravityZone 将应用所有可能的排除项:针对文件夹、进程和IP地址。

注意

勒索软件活动会保留两年的事件记录。

本节内容 :