一、勒索病毒簡(jiǎn)介與發(fā)展史

1、勒索病毒簡(jiǎn)介

2、勒索病毒發(fā)展史

二、勒索病毒分析

1、勒索病毒爆發(fā)原因

2、勒索病毒傳播方式

三、勒索病毒趨勢(shì)分析

四、勒索病毒解決方案

1、勒索病毒入侵行為分析

2、結(jié)合勒索病毒行為特征的針對(duì)性防護(hù)思路

五、方案價(jià)值

一、勒索病毒簡(jiǎn)介與發(fā)展史
1、勒索病毒簡(jiǎn)介
勒索病毒是黑客通過(guò)鎖屏、加密等方式劫持用戶設(shè)備或文件，并以此敲詐用戶錢財(cái)?shù)膼阂廛浖?。黑客利用系統(tǒng)漏洞或通過(guò)網(wǎng)絡(luò)釣魚(yú)等方式，向受害電腦或服務(wù)器植入病毒，加密硬盤上的文檔乃至整個(gè)硬盤，然后向受害者索要數(shù)額不等的贖金后才予以解密，如果用戶未在指定時(shí)間繳納黑客要求的金額，被鎖文件將無(wú)法恢復(fù)。

 2、勒索病毒發(fā)展史
勒索病毒第一階段：不加密數(shù)據(jù)，提供贖金解鎖設(shè)備

      2008年以前，勒索病毒通常不加密用戶數(shù)據(jù)，只鎖住用戶設(shè)備，阻止用戶訪問(wèn)，需提供贖金才能解鎖。期間以LockScreen 家族占主導(dǎo)地位。由于它不加密用戶數(shù)據(jù)，所以只要清除病毒就不會(huì)給用戶造成任何損失。由于這種病毒帶來(lái)的危害都能被很好地解決，所以該類型的勒索軟件只是曇花一現(xiàn)，很快便消失了。

勒索病毒第二階段：加密數(shù)據(jù)，提供贖金解鎖文件

2013年，以加密用戶數(shù)據(jù)為手段勒索贖金的勒索軟件逐漸出現(xiàn)，由于這類勒索軟件采用了一些高強(qiáng)度的對(duì)稱和非對(duì)稱的加密算法對(duì)用戶文件加密，在無(wú)法獲取私鑰的情況下要對(duì)文件進(jìn)行解密，以目前的計(jì)算水平幾乎是不可能完成的事情。正是因?yàn)檫@一點(diǎn)，該類型的勒索軟件能夠帶來(lái)很大利潤(rùn)，各種家族如雨后春筍般出現(xiàn)，比較著名的有CTB-Locker、TeslaCrypt、Cerber等。

勒索病毒第三階段：蠕蟲(chóng)化傳播，攻擊網(wǎng)絡(luò)中其它機(jī)器

2017年，勒索病毒已經(jīng)不僅僅滿足于只加密單臺(tái)設(shè)備，而是通過(guò)漏洞或弱口令等方式攻擊網(wǎng)絡(luò)中的其它機(jī)器， WannaCry就屬于此類勒索軟件，短時(shí)間內(nèi)造成全球大量計(jì)算機(jī)被加密，其影響延續(xù)至今。另一個(gè)典型代表Satan勒索病毒，該病毒不僅使用了永恒之藍(lán)漏洞傳播，還內(nèi)置了多種web漏洞的攻擊功能，相比傳統(tǒng)的勒索病毒傳播速度更快。雖然已經(jīng)被解密，但是此病毒利用的傳播手法卻非常危險(xiǎn)。

 二、勒索病毒分析

1、勒索病毒爆發(fā)原因
1.1.加密手段復(fù)雜，解密成本高

勒索軟件都采用成熟的密碼學(xué)算法，使用高強(qiáng)度的對(duì)稱和非對(duì)稱加密算法對(duì)文件進(jìn)行加密。除非在實(shí)現(xiàn)上有漏洞或密鑰泄密，不然在沒(méi)有私鑰的情況下幾乎沒(méi)有可能解密。當(dāng)受害者數(shù)據(jù)非常重要又沒(méi)有備份的情況下，除了支付贖金沒(méi)有什么別的方法去恢復(fù)數(shù)據(jù)，正是因?yàn)檫@點(diǎn)勒索者能源源不斷的獲取高額收益，推動(dòng)了勒索軟件的爆發(fā)增長(zhǎng)。

互聯(lián)網(wǎng)上也流傳有一些被勒索軟件加密后的修復(fù)軟件，但這些都是利用了勒索軟件實(shí)現(xiàn)上的漏洞或私鑰泄露才能夠完成的。如Petya和Cryptxxx家族恢復(fù)工具利用了開(kāi)發(fā)者軟件實(shí)現(xiàn)上的漏洞，TeslaCrypt和CoinVault家族數(shù)據(jù)恢復(fù)工具是利用了key的泄露來(lái)實(shí)現(xiàn)的。

1.2.使用電子貨幣支付贖金，變現(xiàn)快追蹤難

幾乎所有勒索軟件支付贖金的手段都是采用比特幣來(lái)進(jìn)行的。比特幣因?yàn)樗囊恍┨攸c(diǎn):匿名、變現(xiàn)快、追蹤困難，再加上比特幣名氣大，大眾比較熟知，支付起來(lái)困難不是很大而被攻擊者大量使用?？梢哉f(shuō)比特幣很好的幫助了勒索軟件解決贖金的問(wèn)題，進(jìn)一步推動(dòng)了勒索軟件的繁榮發(fā)展。

1.3.Ransomware-as-a-server（勒索服務(wù)化）的出現(xiàn)

勒索軟件服務(wù)化，開(kāi)發(fā)者提供整套勒索軟件解決方案，從勒索軟件的開(kāi)發(fā)、傳播到贖金收取都提供完整的服務(wù)。攻擊者不需要任何知識(shí)，只要支付少量的租金就可以開(kāi)展勒索軟件的非法勾當(dāng)，這大大降低了勒索軟件的門檻，推動(dòng)了勒索軟件大規(guī)模爆發(fā)。

2、勒索病毒傳播方式
2.1．針對(duì)個(gè)人用戶常見(jiàn)的攻擊方式

  通過(guò)用戶瀏覽網(wǎng)頁(yè)下載勒索病毒，攻擊者將病毒偽裝為盜版軟件、外掛軟件、色情播放器等，誘導(dǎo)受害者下載運(yùn)行病毒，運(yùn)行后加密受害者機(jī)器。此外勒索病毒也會(huì)通過(guò)釣魚(yú)郵件和系統(tǒng)漏洞進(jìn)行傳播。針對(duì)個(gè)人用戶的攻擊流程如下圖所示：

2.2．針對(duì)企業(yè)用戶常見(jiàn)的攻擊方式

勒索病毒針對(duì)企業(yè)用戶常見(jiàn)的攻擊方式包括系統(tǒng)漏洞攻擊、遠(yuǎn)程訪問(wèn)弱口令攻擊、釣魚(yú)郵件攻擊、web服務(wù)漏洞和弱口令攻擊、數(shù)據(jù)庫(kù)漏洞和弱口令攻擊等。其中，釣魚(yú)郵件攻擊包括通過(guò)漏洞下載運(yùn)行病毒、通過(guò)office機(jī)制下載運(yùn)行病毒、偽裝office、PDF圖標(biāo)的exe程序等。

1）系統(tǒng)漏洞攻擊

系統(tǒng)漏洞是指操作系統(tǒng)在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，不法者通過(guò)網(wǎng)絡(luò)植入木馬、病毒等方式來(lái)攻擊或控制整個(gè)電腦，竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。同個(gè)人用戶一樣，企業(yè)用戶也會(huì)受到系統(tǒng)漏洞攻擊，由于企業(yè)局域網(wǎng)中機(jī)器眾多，更新補(bǔ)丁費(fèi)時(shí)費(fèi)力，有時(shí)還需要中斷業(yè)務(wù)，因此企業(yè)用戶不太及時(shí)更新補(bǔ)丁，給系統(tǒng)造成嚴(yán)重的威脅，攻擊者可以通過(guò)漏洞植入病毒，并迅速傳播。席卷全球的Wannacry勒索病毒就是利用了永恒之藍(lán)漏洞在網(wǎng)絡(luò)中迅速傳播。

  攻擊者利用系統(tǒng)漏洞主要有以下兩種方式，一種是通過(guò)系統(tǒng)漏洞掃描互聯(lián)網(wǎng)中的機(jī)器，發(fā)送漏洞攻擊數(shù)據(jù)包，入侵機(jī)器植入后門，然后上傳運(yùn)行勒索病毒。

    另外一種是通過(guò)釣魚(yú)郵件、弱口令等其他方式，入侵連接了互聯(lián)網(wǎng)的一臺(tái)機(jī)器，然后再利用漏洞局域網(wǎng)橫向傳播。大部分企業(yè)的網(wǎng)絡(luò)無(wú)法做到絕對(duì)的隔離，一臺(tái)連接了外網(wǎng)的機(jī)器被入侵，內(nèi)網(wǎng)中存在漏洞的機(jī)器也將受到影響。
網(wǎng)上有大量的漏洞攻擊工具，尤其是武器級(jí)別的NSA方程式組織工具的泄露，給網(wǎng)絡(luò)安全造成了巨大的影響，被廣泛用于傳播勒索病毒、挖礦病毒、木馬等。有攻擊者將這些工具，封裝為圖形化一鍵自動(dòng)攻擊工具，進(jìn)一步降低了攻擊的門檻。

2）遠(yuǎn)程訪問(wèn)弱口令攻擊

由于企業(yè)機(jī)器很多需要遠(yuǎn)程維護(hù)，所以很多機(jī)器都開(kāi)啟了遠(yuǎn)程訪問(wèn)功能。如果密碼過(guò)于簡(jiǎn)單，就會(huì)給攻擊者可乘之機(jī)。很多用戶存在僥幸心理，總覺(jué)得網(wǎng)絡(luò)上的機(jī)器這么多，自己被攻擊的概率很低，然而事實(shí)上，在全世界范圍內(nèi)，成千上萬(wàn)的攻擊者不停的使用工具掃描網(wǎng)絡(luò)中存在弱口令的機(jī)器。有的機(jī)由于存在弱口令，被不同的攻擊者攻擊，植入了多種病毒。這個(gè)病毒還沒(méi)刪除，又中了新病毒，導(dǎo)致機(jī)器卡頓，文件被加密。

3）釣魚(yú)郵件攻擊

企業(yè)用戶也會(huì)受到釣魚(yú)郵件攻擊，相對(duì)個(gè)人用戶，由于企業(yè)用戶使用郵件頻率較高，業(yè)務(wù)需要不得不打開(kāi)很多郵件，而一旦打開(kāi)的附件中含有病毒，就會(huì)導(dǎo)致企業(yè)整個(gè)網(wǎng)絡(luò)遭受攻擊。釣魚(yú)郵件攻擊邏輯圖：

三、勒索病毒趨勢(shì)分析
1.利用漏洞和弱口令植入勒索增多

傳統(tǒng)的勒索病毒，一般通過(guò)垃圾郵件、釣魚(yú)郵件、水坑網(wǎng)站等方式傳播，受害者需要下載運(yùn)行勒索病毒才會(huì)中毒。而通過(guò)漏洞和弱口令掃描互聯(lián)網(wǎng)中的計(jì)算機(jī)，直接植入病毒并運(yùn)行，效率要高很多。GandCrab、Crysis、GlobeImposter等勒索病毒主要就是通過(guò)弱口令傳播，GandCrab內(nèi)部雖然不含漏洞攻擊的部分，但是有證據(jù)表明攻擊者已經(jīng)開(kāi)始使用web漏洞植入此病毒，而Satan更是兇狠，不僅使用永恒之藍(lán)漏洞攻擊，還包含了web漏洞和數(shù)據(jù)庫(kù)漏洞，包括CVE-2017-10271 WebLogic WLS組件漏洞、CVE-2017-12149 JBOOS 反序列化漏洞、tomcat弱口令等，從而增加攻擊成功的概率。因此防御勒索病毒也從傳統(tǒng)的不下載可疑文件、不打開(kāi)可疑附件，過(guò)渡到及時(shí)安裝系統(tǒng)和web服務(wù)的補(bǔ)丁，不使用弱口令密碼。

2.攻擊者入侵后人工投毒增多

攻擊者通過(guò)弱口令或者漏洞，入侵一臺(tái)可以訪問(wèn)互聯(lián)網(wǎng)的計(jì)算機(jī)后，遠(yuǎn)程操作這臺(tái)機(jī)器，攻擊局域網(wǎng)中的其它機(jī)器，這些機(jī)器雖然沒(méi)有連接互聯(lián)網(wǎng)，但是和被攻擊的機(jī)器相連，因此攻擊者可以通過(guò)這臺(tái)機(jī)器攻擊局域網(wǎng)的其它機(jī)器。所以內(nèi)外網(wǎng)隔離非常重要，否則再堅(jiān)固的堡壘，一旦從內(nèi)部遭受到攻擊，就會(huì)損失慘重。

攻擊者一旦遠(yuǎn)程登陸一臺(tái)機(jī)器，就會(huì)通過(guò)工具手工關(guān)閉殺軟，植入并運(yùn)行勒索病毒，并繼續(xù)掃描攻擊局域網(wǎng)中的其它機(jī)器。此外由于局域網(wǎng)中大量機(jī)器使用弱口令和相同密碼，給攻擊者提供了便利，因此及時(shí)更新補(bǔ)丁非常重要。

3.勒索病毒持續(xù)更新迭代對(duì)抗查殺

GandCrab勒索（后綴GDCB、CRAB、GRAB、KRAB）、Satan勒索（后綴Satan、dbger、sicck）、Crysis勒索（后綴arena、bip）、GlobeImposter勒索（后綴reserver、Dragon444）等勒索持續(xù)更新，每隔一段時(shí)間就會(huì)出現(xiàn)一個(gè)新變種，有的修改加密算法，增加了加密速度，有的為了對(duì)抗查殺，做了免殺、反調(diào)試、反沙箱，并且后綴也會(huì)隨之改變。此外有的勒索病毒新版本開(kāi)始使用隨機(jī)后綴，從而增加受害者查找所中勒索類型的難度，迫使受害者只能聯(lián)系攻擊者留下的郵箱來(lái)進(jìn)行解密。

4.針對(duì)有價(jià)值目標(biāo)發(fā)起定向攻擊逐漸增多

相對(duì)于廣撒網(wǎng)方式，定向攻擊植入勒索病毒的事件逐漸增多。攻擊者一般會(huì)選擇更有勒索價(jià)值的目標(biāo)進(jìn)行定向攻擊，包括醫(yī)院、學(xué)校、防護(hù)不足的中小企業(yè)等，這些企業(yè)通常防護(hù)不足，數(shù)據(jù)非常重要，如學(xué)生數(shù)據(jù)、患者醫(yī)療數(shù)據(jù)、公司業(yè)務(wù)文件等，一旦此類資料被加密，受害者支付贖金的可能性就會(huì)更高，所以攻擊者會(huì)有針對(duì)性的定向攻擊此類企業(yè)。

5.勒索病毒開(kāi)發(fā)門檻進(jìn)一步降低

一方面由于各種編程語(yǔ)言腳本都可以被用來(lái)編寫(xiě)勒索軟件，大大降低了勒索軟件的開(kāi)發(fā)門檻，有不少剛接觸計(jì)算機(jī)的未成年人也開(kāi)始制作勒索軟件。從近期捕獲的勒索病毒樣本來(lái)看，有使用python編寫(xiě)勒索軟件，偽裝為office文檔圖標(biāo)的。有使用Autoit腳本編寫(xiě)勒索軟件，偽裝為windows更新程序的。還有使用易語(yǔ)言編寫(xiě)勒索軟件，通過(guò)設(shè)置開(kāi)機(jī)密碼，或者鎖定MBR來(lái)勒索的。知名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。

另一方面暗網(wǎng)和黑市上存在不少勒索病毒生成器，攻擊者輸入自己的郵箱和勒索信息，一鍵生成勒索軟件等業(yè)務(wù)，使不少盜號(hào)、DDOS、詐騙等其它犯罪領(lǐng)域的攻擊者，也投入到勒索領(lǐng)域，加劇了勒索病毒的泛濫。

6.勒索軟件在世界范圍內(nèi)造成的損失逐漸增大

很多公司為了及時(shí)恢復(fù)數(shù)據(jù)，平時(shí)就會(huì)存儲(chǔ)一定量的比特幣等虛擬貨幣，以防被勒索時(shí)支付贖金。但是更多的情況是，即使支付贖金，對(duì)業(yè)務(wù)也已經(jīng)造成了非常大的損失。永恒之藍(lán)WannaCry，攻擊世界最大的芯片代工廠“臺(tái)積電”，導(dǎo)致臺(tái)積電停工三天，損失十幾億元人民幣。Petya勒索病毒造成全球最大的集裝箱航運(yùn)公司馬士基損失數(shù)億美元、全球最大語(yǔ)音識(shí)別公司Nuance 損失超過(guò)9,000萬(wàn)美元，此外受到該勒索病毒攻擊的還有烏克蘭中央銀行、俄羅斯石油巨頭 Rosneft、廣告企業(yè) WPP、律師事務(wù)所 DLA Piper等。以上數(shù)據(jù)還僅僅是冰山一角，還有很多不知名的公司和個(gè)人，由于遭受勒索病毒攻擊，造成大量的經(jīng)濟(jì)損失，重要資料丟失。

四、勒索病毒解決方案
1、勒索病毒入侵行為分析
? 探測(cè)掃描：在攻擊前期，黑客會(huì)對(duì)用戶的互聯(lián)網(wǎng)出口及對(duì)外業(yè)務(wù)發(fā)起踩點(diǎn)掃描，尋求防護(hù)漏洞，以利用發(fā)起攻擊；

? 入侵突破：黑客發(fā)現(xiàn)可利用漏洞或風(fēng)險(xiǎn)后，發(fā)起針對(duì)性利用攻擊，突破邊界防護(hù)，并侵入主機(jī)終端，上傳勒索病毒；

? C&C通信：勒索病毒一般都存在遠(yuǎn)程控制端，病毒需要與控制端進(jìn)行遠(yuǎn)程通信，實(shí)現(xiàn)黑客遠(yuǎn)程控制的目的；

? 加密勒索：在拿到大量資產(chǎn)后，勒索病毒會(huì)集中式全面爆發(fā)，對(duì)系統(tǒng)目錄所有文件進(jìn)行快速加密，開(kāi)始勒索。

2、結(jié)合勒索病毒行為特征的針對(duì)性防護(hù)思路
? 預(yù)防：在攻擊發(fā)生前，需要整體梳理實(shí)時(shí)定位內(nèi)網(wǎng)風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)進(jìn)行針對(duì)解決，如風(fēng)險(xiǎn)端口、漏洞、授權(quán)、備份等；

? 防御：對(duì)掃描、風(fēng)險(xiǎn)利用攻擊、病毒、暴力破解等多種非法攻擊手段進(jìn)行全面防護(hù)，阻止病毒進(jìn)入內(nèi)網(wǎng)；

? 檢測(cè)：結(jié)合沙箱、人工智能病毒查殺引擎、流量行為分析等方式對(duì).上傳文件、異常通信、文件非 法操作行為進(jìn)行檢測(cè)；

? 響應(yīng)：一體化響應(yīng)模型，在各個(gè)流程一旦發(fā)現(xiàn)勒索病毒，能智能化的自動(dòng)進(jìn)行如告警、隔離、查殺等響應(yīng)動(dòng)作；

?恢復(fù)：建立完善的數(shù)據(jù)備份恢復(fù)機(jī)制，采用增量備份的方式，可恢復(fù)至病毒爆發(fā)前一周任意時(shí)間點(diǎn)的數(shù)據(jù)。

網(wǎng)絡(luò)邊界安全防護(hù)：使用下一代防火墻（AF），構(gòu)建邊界L2一7的完整防御體系，提供各類漏洞檢測(cè)與防護(hù)，風(fēng)險(xiǎn)端口檢測(cè)、惡意軟件的過(guò)濾，僵尸網(wǎng)絡(luò)和DDOS攻擊檢測(cè)，為用戶網(wǎng)絡(luò) 邊界提供全面的安全防護(hù)。

終端的安全防護(hù)：終端檢測(cè)響應(yīng)平臺(tái)（EDR），可提供終端的病毒查殺、入侵防御、漏洞 管理、快速響應(yīng)等多種防護(hù)功能，平臺(tái)集成基因檢測(cè)、沙箱檢測(cè)、機(jī)器學(xué)習(xí)與預(yù)測(cè)等多種新型檢測(cè)引擎，實(shí)現(xiàn)勒索病毒的高檢出和準(zhǔn)確率。

相比傳統(tǒng)殺毒引擎，SAVE引擎采用了人工智能無(wú)特征技術(shù)，對(duì)不在病毒庫(kù)里的未知病毒或變種，也能有效地鑒定。

創(chuàng)新微隔離技術(shù)，有效應(yīng)對(duì)高級(jí)威脅快速傳播，將病毒遏制在指定范圍之內(nèi)，使信息系統(tǒng)環(huán)境可控性大大提高。

全網(wǎng)安全運(yùn)營(yíng)：安全態(tài)勢(shì)感知平臺(tái)采用大數(shù)據(jù)分析架構(gòu)，通過(guò)采集全網(wǎng)安全流量、設(shè)備安全日志融合聯(lián)動(dòng)分析，結(jié)合人工智能、機(jī)器學(xué)習(xí)、UEBA分析技術(shù)，對(duì)全網(wǎng)安全態(tài)勢(shì)集中分析 展示，輔助用戶定位安全風(fēng)險(xiǎn)、安全事件、失陷主機(jī)及反向溯源，構(gòu)建集團(tuán)和分支單位全網(wǎng)安全運(yùn)營(yíng)中心，讓勒索病毒無(wú)處遁形。

      安全感知平臺(tái)定位為客戶的安全大腦，是一個(gè)檢測(cè)、預(yù)警、響應(yīng)處置的大數(shù)據(jù)安全分析平臺(tái)。其以全流量分析為核心，結(jié)合威脅情報(bào)、行為分析建模、UEBA、失陷主機(jī)檢測(cè)、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)，對(duì)全網(wǎng)流量實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化等，幫助客戶在高級(jí)威脅入侵之后，損失發(fā)生之前及時(shí)發(fā)現(xiàn)威脅。

聯(lián)動(dòng)響應(yīng)防護(hù)體系：態(tài)勢(shì)感知除了采集全網(wǎng)流量日志做集中運(yùn)營(yíng)分析，在發(fā)現(xiàn)問(wèn)題后，還可智能聯(lián)動(dòng)如防火墻、行為管理、EDR等安全設(shè)備進(jìn)行自動(dòng)化安全事件處置及阻斷、隔離等， 真正實(shí)現(xiàn)安全智能免疫體系。

終端誘餌與全網(wǎng)肅殺： EDR針對(duì)勒索病毒，特意開(kāi)發(fā)了針對(duì)性的解決功能，通過(guò)在內(nèi)網(wǎng)資 產(chǎn)操作系統(tǒng)的文件目錄中插入誘餌文件，捕獲勒索病毒加密行為，一旦發(fā)現(xiàn)誘餌文件被加密，立即終止所有文件操作，反向定位勒索病毒，并進(jìn)行全網(wǎng)針對(duì)性查殺，是勒索病毒防護(hù)的最后 一道防護(hù)屏障，可保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)不被加密。

CDP持續(xù)數(shù)據(jù)保護(hù)：全面支持主流操作系統(tǒng)、數(shù)據(jù)庫(kù)級(jí)應(yīng)用系統(tǒng)，可提供文件、數(shù)據(jù)庫(kù)、操作系統(tǒng)、虛擬機(jī)、卷等數(shù)據(jù)備份與應(yīng)用容災(zāi)，提供數(shù)據(jù)零丟失（RPO等于0），True CDP能夠持續(xù)監(jiān)控并記錄所有生產(chǎn)業(yè)務(wù)數(shù)據(jù)變化，確保病毒發(fā)生時(shí)數(shù)據(jù)零丟失，同時(shí)可以實(shí)現(xiàn)任意時(shí)間點(diǎn)數(shù)據(jù)回退，從而能夠有效應(yīng)對(duì)軟件故障、病毒入侵（列如WannaCry勒索病毒）、認(rèn)為操作（誤操作、惡意破壞）等邏輯故障。

快速回退到中勒索病毒前一秒狀態(tài)告別勒索風(fēng)險(xiǎn)

五、方案價(jià)值
（一）全面封鎖勒索病毒、黑客攻擊的傳播渠道、系統(tǒng)漏洞。

（二）能能夠檢測(cè)出病毒和黑客攻擊全過(guò)程，形成全攻擊鏈檢出能力。

（三）可發(fā)現(xiàn)ATP攻擊行為、勒索軟件行為、僵尸網(wǎng)絡(luò)等異常的網(wǎng)絡(luò)行為。

（四）構(gòu)建“邊界+流量+端點(diǎn)+CDP”的立體聯(lián)動(dòng)防護(hù)與恢復(fù)能力，提升響應(yīng)速度與風(fēng)險(xiǎn)應(yīng)對(duì)能力。

（五）可檢測(cè)自助終端的安全合規(guī)態(tài)勢(shì)，并可以對(duì)仿冒接入等異常行為和APT攻擊等惡意行為進(jìn)行預(yù)警和控制，從原來(lái)的被動(dòng)防御轉(zhuǎn)為主動(dòng)防御

（六）等保合規(guī)，符合國(guó)家對(duì)等保建設(shè)的需求。

（七）確保重要數(shù)據(jù)在被加密鎖定的情況下最大限度的恢復(fù)受攻擊前1秒狀態(tài)。