1. 对抗测试背景
国内某勒索组织利用知名CRM系统0day漏洞,针对国内超过2000家中小型企业发起了勒索攻击,该组织使用TellYouThePass家族勒索软件,疑似通过供应链污染的方式传播,极短时间内加密了数千家企业数据,为评估该病毒危害性本次对抗测试采用同源样本。
图1 此前国内爆发的大规模勒索攻击事件
2. 病毒样本信息
3. 样本毒性验证
通过后台运行病毒样本后,可以看到所有文档被追加了“.locked”的后缀,所有数据文件无法识别、无法使用。
4. 样本对抗测试
为验证防勒索系统多层防护能力的有效性,对抗测试单独验证每项防护机制的效果。
4.1 勒索检测能力测试
1) 仅开启勒索检测能力,后台运行病毒样本,可以看到防勒索系统界面有告警提示,且数据文件未被加密;
2) 在告警详情页面可看到样本已被识别为勒索病毒并被隔离。
4.2 勒索防护能力测试
1) 仅开启勒索防护能力,运行病毒样本后,可看到有大量告警,数据文件未被加密;
2) 告警详情页面可看到,病毒样本尝试删除数据文件的行为被拦截,系统数据文件得以保留。
4.3 数据恢复能力测试
1) 仅开启数据备份恢复能力,运行病毒样本,系统所有数据文件全部被加密;
2) 打开备份区可看到系统数据文件均已备份,可勾选恢复数据文件;
3) 从备份区将数据文件恢复,恢复后的数据文件未被加密,可被系统正确识别。
5. 测试总结
威努特防勒索系统检测、防护、恢复机制,能够独立生效防范TellYouThePass勒索病毒,检测机制准确识别勒索病毒并阻断其运行,保护机制可确保数据文件不被篡改、删除,恢复机制可还原数据文件至未加密状态。
威努特防勒索系统检测、防护、恢复三重技术手段所形成的纵深防范能力,能极大降低遭勒索破坏的风险,帮助医疗、制造、能源等行业客户,实现勒索病毒的事前预防、事中检测/阻断和事后数据恢复。