零信任安全
数据安全
网络安全
工业互联网安全
场景解决方案
勒索病毒事件应急响应服务
1.服务介绍
安几面向广大政企、医院、高校、工业行业,在其遭受勒索病毒危害时提供勒索病毒应急响应服务,第一时间进行快速响应,派出专业应急响应工程师对染毒主机进行排查,对当前环境进行风险排除与主机加固,处置取证后提供专业完整的应急响应报告,协助解决客户因勒索病毒所造成的重要业务瘫痪、重要数据被加密等情况,减少客户因勒索病毒所造成的巨大经济损失。
2.服务内容
(1)排查处置
根据分析结果,在未发现感染勒索病毒情况下,寻找其他可能原因,进行排查处置,之后协助客户进行安全加固和文件备份,防止客户遭受勒索病毒攻击。
(2)取证溯源
安几工程师将基于第一现场收集到的各类应急处置信息,例如病毒感染文件的最初时间,结合操作系统日志、业务系统日志、网络设备日志等设备日志综合判断和构建这一时段信息系统各组件所执行的操作,并通过内存取证,硬盘镜像等电子证物取证技术手段开展恶意样本取证分析操作,从以上应急响应业务操作中构建事件发展的时间线、证据链从而推测判断事件发生的准确原因以及病毒传播的源头,并进一步根据所发现的各类电子证物追踪背后攻击者,在各项应急处置过程进展顺利的情况下找出源头设备以及对应的攻击者。在完成现场取证操作后,将对事件情况出具专业完整的应急响应报告。
(3)解密恢复
在文件被恶意加密情况下,若用户留存备份,安几工程师协助通过之前的备份恢复数据后进行二次风险排除。若无额外数据备份,安恒信息工程师根据现有技术手段获取病毒更多相关信息,进一步确认当前感染勒索病毒类型,对少数可解密病毒进行解密处置。
(4)隔离加固
主机感染病毒但文件未加密情况下,在物理、网络隔离染毒机器后,安几应急服务将对染毒机器进行排查和病毒清理,之后对整体工作环境进行风险排除和主机加固。
3.服务优势
(1)丰富的应急处置经验
安几应急服务依托多年安全实践经验,可对事件进行精准的分析和还原,协助企业进行攻击链还原、漏洞修复。同时,应急服务团队成员都是由具备丰富应急处置经验的安全工程师组成,可保证应急响应过程高效可靠。
(2)快速的响应服务
安几应急服务将第一时间进入现场根据实际情况进行排查与处置,根据具体事件进行快速响应和定位,减少因时间差造成的损失。
(3)专业的文档输出能力
报告,不但会对此次事件进行描述和判断,也会针对此类勒索病毒事件给出专业的安全加固建议以及常用的应急处置办法,从而在本次应急处置过后,不会在完成系统恢复之后再次被感染,从而造成更严重的影响。
4.服务流程
(1)事前防御
安几APT产品对网络中传输的已知和未知恶意文件样本结合病毒引擎、静态分析和动态分析,对勒索病毒及其变种传播及时告警,对传播类型、传播途径、恶意代码传播、回链、漏洞利用等行为进行深度解析,准确定位感染源和感染主机。
安几主机卫土 EDR 通过“平台+端”分布式部署,对于已知勒索病毒,通过“进程启动防护引警”零误报零漏报查杀;对于未知勒索病毒,采用“专利级诱饵引擎”进行捕获,阻断其加密行为,通过内核级的流量隔离技术,自动阻止勒索病毒在内网扩散或者接收远程控制端指令。
(2)事件确认
在用户疑似遭受勒索病毒时,安全工程师与用户交流了解事件具体详情,并记录问题情况,告知用户先行进行基础响应措施,根据用户描述现象与系统实际现象,对事件进行判断。
(3)事件分析
安几工程师将第一时间进行响应,根据事件详情与系统保存的记录,在隔离染毒主机后,结合系统与网络等综合情况,判断病毒感染状态,进行全面深入的分析。
(4)事中处理
事件分析完成后,将根据病毒感染状态进行处理,确认存在病毒情况下,若文件未加密,对染毒主机进行病毒清理、后门删除,对整体工作环境的进行风险排除,在文件加密情况下,根据现有技术手段获取病毒更多相关信息,进一步确认当前
感染勒索病毒类型,对可解密病毒进行解密处置;协助用户备份恢复后进行再次排查,防止二次感染。
(5)应急响应分析报告
完成以上应急操作后,进行现场取证,之后根据实际情况编写《勤索病毒应急响应分析报告》,对整个事件的现象、分析处置过程、处置结果、事件发生原因进行阐述,给出相关安全建议,协助用户进行主机加固并提供安全建议。
留下您的联系方式,我们专业人员将会为您服务
扫码关注公众号
服务热线 :
021-52808586
-
公司地址 :
-
上海安几-上海市普陀区祁连山路111弄中以(上海)创新园16号楼3层
江苏安几-苏州市工业园区金鸡湖大道88号人工智能产业园G1栋504室
北京安几-北京市朝阳区四惠大厦5035E
-
E-mail :
-
angeek-market@angeek.com.cn