Giải pháp phòng chống Ransomware với Sangfor Endpoint Secure – Best Practices

Giải pháp phòng chống Ransomware dựa trên Backup & Process Injection Protection với Sangfor Endpoint Secure – Best Practices.

Giới thiệu về Giải pháp phòng chống Ransomware

Để hiểu về giải pháp phòng chóng Ransomware trước tiên ta cần hiểu về Ransomware là gì? Làm sao để phòng chóng Ransomware?

Ransomware là một loại phần mềm độc hại, sau khi lây nhiễm vào hệ thống CNTT của doanh nghiệp, nó sẽ thực hiện mã hóa để ngăn chặn quyền truy cập vào các hệ thống và dữ liệu quan trọng. Tiếp theo, hacker sẽ yêu cầu tiền chuộc cho khóa giải mã để được cung cấp lại quyền truy cập vào dữ liệu.

Nhiều cuộc tấn công Ransomware thành công vì phần mềm độc hại có thể vô hiệu hóa các phần mềm Sao lưu và Phục hồi dữ liệu. Tuy nhiên, doanh nghiệp vẫn có thể sử dụng bản sao lưu để bảo vệ khỏi Ransomware. Trường hợp xấu nhất xảy ra khi các bản sao lưu cũng bị hacker can thiệp và xóa khỏi hệ thống lưu trữ.

Sao lưu và Phục hồi như một phần của chiến lược/ giải pháp phòng chống Ransomware với Sangfor Endpoint Secure – Best Practices, có thể giúp doanh nghiệp bảo vệ dữ liệu của mình và tránh phải trả tiền chuộc bằng các giải pháp sao lưu ngoài tầm can thiệp của hacker. Nó có thể giúp khôi phục nhanh chóng và hiệu quả dữ liệu quan trọng của doanh nghiệp và phục hồi hoạt động kinh doanh.

Cấu hình Sangfor Endpoint Secure – Best Practices

Ransomware Honeypot

Bước 1. Disable Realtime File Protection. Điều hướng đến Security Protection > Real-time Protection để tắt, như hình ảnh bên dưới:

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

Bước 2. Điều hướng đến Security Protection > Anti Ransomware, và check vào Ransomware honeypot, như hình ảnh bên dưới:

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices
Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

Bước 3. Khởi chạy mẫu Ransomware bất kỳ.

Quan sát góc dưới bên phải của máy tính thử nghiệm. Sangfor Endpoint Secure phát hiện ransomware và bật lên hộp thoại cảnh báo, và kiểm tra dữ liệu của máy tính thử nghiệm chưa được mã hóa.

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices
Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

Kết quả kiểm tra

Bằng cách chạy virus ransomware, Sangfor Endpoint Secure có thể phát hiện ransomware và bật lên hộp thoại cảnh báo, còn dữ liệu của máy tính thử nghiệm chưa bị mã hóa.

Ransomware Behavior Detection (Process Exploitation)

  • Thêm các mẫu ransomware (ví dụ đặt tên mẫu là exe) vào whitelist để ngăn chặn khả năng phát hiện tĩnh và khả năng ransomware honeypot của Sangfor Endpoint Secure, điều này sẽ ảnh hưởng đến kết quả phát hiện hành vi ransomware tiếp theo, như minh họa bên dưới.

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

  • Sử dụng tool (exe) để can thiệp vào mẫu rsmngav_virus_new (thông thường, không thể phát hiện sau khi mã hóa mẫu bị can thiệp

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

  • Sử dụng injection tool (exe) để inject (tiêm) mẫu rsmngav_virus_new bị can thiệp vào explorer.exe
Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices
Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices
  • Sau khi inject thành công, explorer sẽ tự động khởi động lại và lấy mẫu ransomware để mã hóa. Khả năng phát hiện hành vi của ransomware từ Sangfor Endpoint Secure sẽ phát hiện và dừng ngay lập tức hoạt động mã hóa, như minh họa trong hình bên dưới

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

Kết quả test:

Khả năng phát hiện hành vi của ransomware từ Sangfor Endpoint Secure có thể phát hiện các phương thức tấn công mới như làm xáo trộn mã hóa virus ransomware và đưa vào whitelist. Khi virus ransomware được đưa vào whitelist thông thường sẽ giúp virus vượt qua được khả năng bảo vệ của các phần mềm phòng chống virus. Tuy nhiên, với Sangfor Endpoint Secure khả năng phát hiện hành vi của ransomware sẽ phát hiện hành vi mã hóa của virus ransomware trong thời gian thực và chặn nó.

Ransomware Backup Files

  • Điều hướng đến Security Protection > Policies > Anti-Ransomware Protection, và check vào Enable ransomware backup, sau đó check tiếp vào Remove and quarantine the encrypted filesEnable password authentication for “encrypted file restoration”, như hình bên dưới.
Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices
Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices
  • Giải nén mẫu ransomware bất kỳ vào máy tính thử nghiệm. Đổi lại định dạng mẫu ransomware thành .exe và thêm vào whitelist tương tự như ví dụ trên.
Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices
Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices
  • Chuẩn bị một số file bình thường và đặt chúng vào một thư mục bất kỳ trên màn hình Desktop.

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

  • Double-click để khởi chạy virus ransomware. Sangfor Endpoint Secure sẽ lập tức phát hiện và ngăn chặn. Lúc này, một số file đã bị mã hóa (các file gốc đã được sao lưu) như hình bên dưới.

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

  • Một số file đã bị mã hóa có thể được Phục hồi thông qua Ransomware Backup, như hình bên dưới.

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

Ransomware Snapshot Backup

  • Điều hướng đến Security Protection > Policies > Anti-Ransomware trong Web Console, và check vào Enable snapshot-based ransomware recovery

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

  • Điều chỉnh thời gian của máy chủ thử nghiệm Windows thành 11:55 sáng (snapshot được thực hiện vào lúc 12:00 trưa hàng ngày. Để thấy hiệu quả, cần điều chỉnh thời gian về trước 12:00 trưa).

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

  • Thực hiện tạo bất kỳ một số file dữ liệu mẫu, chúng ta sẽ thấy virus ransomware đã mã hóa một số file.

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

  • Click vào Restore All Files to để khôi phục nhanh bằng snapshot với chỉ một click chuột và quan sát quá trình khôi phục có thành công hay không?

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

Giải Pháp Phòng Chống Ransomware Với Sangfor Endpoint Secure Best Practices

Lưu ý:

  • Snapshot chỉ hỗ trợ Windows Server (ngoại trừ Windows Server 2003).
  • Snapshot được thực hiện lúc 12:00 trưa hàng ngày và mất khoảng 10 phút.
3/5 - (5 bình chọn)

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Call Now