【惡意程式防護資訊】勒贖軟體的防護策略-OfficeScan的建議設定

　　趨勢科技近期發現一波新的勒贖軟體攻擊事件。勒贖軟體會將電腦上的檔案加密，被加密的檔案則無法開啟或使用。與之前的勒贖軟體相同，此惡意程式會將自己偽裝成Email附加檔案，也有可能直接從網路上下載來；除此之外，感染勒贖病毒的電腦，會尋找網路芳鄰的共享資料夾或是網路磁碟機，若具有寫入權限的話，也會將這些共享資料夾或是網路磁碟機上的檔案進行加密。部分客戶反映因使用者電腦上C磁 碟機沒有設定存取限制，因此整個C磁碟機遭到感染勒贖病毒的電腦加密。趨勢科技在此提醒您，切勿輕易執行來源不明的檔案。請您隨時保持您的趨勢科技產品病毒碼在最新版本，以維持最完善的防護。

　　若您目前使用OfficeScan可參考下列建議設定，透過Officescan防護功能避免感染勒索軟體：（以OfficeScan v11.0為例）

1. 使用雲端截毒掃描：

　　雲端掃描功能提供更高的偵測率和病毒碼更新頻率，因為勒贖軟體更新的速度很快，所以相較於傳統掃描模式，使用雲端掃描可以更快取得最新病毒碼來偵測攔截這些惡意程式。

• 掃描方法的切換可在『OfficeScan主控台 → 代理程式 → 代理程式管理，點選需要切換的群組/代理程式後，再點選設定 → 掃描方法』中進行設定。

2. 啟動網頁信譽評等服務：
　　對辦公室內部和外部的OfficeScan代理程式啟動網頁信譽評等服務(WRS)，這個功能有助於防止用戶端電腦瀏覽到含有勒贖軟體的惡意網站。

　　此功能可在『OfficeScan主控台 → 代理程式 → 代理程式管理，點選需要切換的群組/代理程式後，再點選設定 → 網頁信譽評等』中進行設定。

　　啟用『封鎖包含惡意程式檔的網頁』功能以識別網路瀏覽器弱點攻擊和惡意程式檔，並避免使用這些威脅入侵網路瀏覽器。

3. 啟動行為監控：
　　OfficeScan行為監控功能可透過主動雲端截毒技術驗證從HTTP 通道或電子郵件應用程式下載檔案的普遍程度，以抵禦全新的、不明的和新興的安全威脅。

　　請登入『OfficeScan管理主控台 → 代理程式 → 全域代理程式設定』，在行為監控設定區塊中，啟用功能『在執行經由 HTTP 或電子郵件應用程式下載之新發現的程式之前，先提示使用者』，並進行部署：

透過OfficeScan 11.0 sp1的新增功能加強勒贖軟體防護：
　　勒贖軟體安全防護: 加強的掃瞄功能可透過識別常見行為和封鎖通常與勒索軟體程式關聯的程序，來識別和封鎖針對在端點上執行的文件的勒贖軟體程式。

OfficeScan v11.0 SP1中文版下載連結。

• 設定方請切換至『代理程式 → 代理程式管理，選擇需要開啟的群組/代理程式』，點選設定 → 行為監控設定，請啟用對已知和潛在安全威脅啟動『惡意程式行為封鎖』，並選擇『已知和潛在安全威脅』。
• 於勒贖軟體防護設定部分，啟用功能『保護文件以防止未經授權的加密或修改』、『封鎖常與勒索軟體相關的程序』。

4. 設置可疑連線設定
　　OfficeScan 可以記錄代理程式與全域 C&C IP 清單中的位址之間建立的所有連
線。此外，『可疑連線設定』畫面也可讓您記錄，同時也可讓您存取使用者定義的封鎖 IP 清單中設定的 IP 位址。

　　OfficeScan 也可以監控可能由僵屍網路或其他惡意程式威脅產生的連線。偵測
到惡意程式威脅後，OfficeScan 可嘗試清除感染。

　　切換至代理程式 → 代理程式管理，選擇需要開啟的『群組/代理程式』，點選設定 → 其他服務設定，請勾選啟用『可疑連線服務』功能。

　　完成後請點選設定 → 可疑連線設定，請啟用『記錄與全域C&C IP清單中位址之間建立的網路連線』及『使用惡意程式網路特徵鑑別的紀錄檔連線』，並勾選『偵測到C&C回呼時清除可疑連線』。

資料來源：趨勢科技20151109電子報

Facebook 留言

則留言