热门:明朝万达推出Chinasec（安元）数据安全保镖各个方面防护勒索病毒

本篇文章1517字，读完约4分钟

中新网于11月15日宣布，今年5月wannacry恐吓病毒在全世界大规模肆虐。 该病毒利用nsa黑客工具包“永远的蓝色”0day的漏洞，通过445端口(文件共享)在内部网进行蠕虫传播，破坏了一百多个国家的互联网和重要数据。 国内也同样出现了大量感染该病毒的ip，保守估计有30万台以上的终端和服务器感染，复盖了全国的几乎全部地区。

今年6月wannacry恐吓病毒的阴霾没有完全消失时，一种叫petya的最新恐吓病毒再次袭击了世界。 今年10月新型变种恐吓病毒badrabbit受到袭击。

与威胁类病毒相比，国内外网络新闻安全企业相继提出了多种处理方案。 现在的程序可以分为三类。 第一个是病毒警告，病毒检查和杀死:这种处理方案以威胁病毒的警告、检查和杀死为核心构想，防止终端电脑感染威胁病毒。 这种想法的特征是与已知病毒相比可以最有效的预防和阻断。 缺点是与未知病毒对比，缺乏相应的防护能力。 第二个是文档备份，文档恢复。 这种处理方案的核心是比较重要文件进行备份保护，比较受到威胁的病毒感染的文件进行解密恢复，无论是文件的备份还是被感染的文件的解密，这种想法都是事后的 三是积极防御，完全阻断:这种处理方案的设想是完全阻断wannacry这样的威胁病毒对文档的破坏性危害，无论病毒如何变异，也不需要大量备份文件。

基于“自主防御，彻底阻断”的设想，北京明朝万达科技股份有限公司深入分析病毒运行机制，结合国内目前的实际情况，是比较胁迫病毒防护产品——chinasec (安元)数据安全主体

从分解病毒本身的执行过程中，我们发现恐吓病毒加密文件的前提是必须拥有文件的权限。 关于文件权限，windows提供了两层管理机制。 第一层基于windows客户端的管理，现在的终端基本上是最高的权限，所以病毒可以直接利用这个权限来破坏。 第二层是进程对文件的权限，当进程操作文件时，可以控制其操作权限。 基于此原理，数据安全保镖产品将重要路径下的文件绑定到合法进程，只有合法进程才能对文件进行全部操作权限，非法进程不能对目标文件进行。

主动防御机制:产品根据威胁软件对文件的操作行为，排除了比较以前传达的病毒特征的繁杂的检查判定方法，禁止所有可疑过程操作文件，无论是已知病毒还是未知病毒

保护效果无关文件类型:产品根据比较保护路径进行比较有效的保护，与路径下的文件样式无关。 对于特殊的文件样式，不需要对比度匹配。

易于使用:无需关闭端口、频繁修补或更改防火墙参数，即可通过简单的策略设置获得防御效果。

定义保护路径:产品支持将本地的一条或多条重要路径设置为受保护的路径。 也可以将需要保护的文件放在保护路径上，以控制保护路径的启动和停止。

合法流程的定义:本产品为流程白名单的定义提供自动和手动两种机制。 自动定义是系统自动识别当前计算机上所有已知的合法应用程序正在运行，并将其批量添加到流程白名单中。 手动定义是自动定义的补充和调整，在自动定义的过程中冗馀太多或某个合法的过程没有启动的情况下，可以用手动的方法删除或添加。

防护效果:在客户完成防护路径和流程白名单的设置后，白名单中的流程对已启动的防护路径下的文件拥有全部操作权限。 白名单以外的进程具有读取保护路径下的文件的权限，没有其他权限。 威胁病毒的过程的目的是即使访问路径下的文件，也因为没有文件的操作权限，所以文件不会被非法加密，不会威胁病毒。

日志记录:通过日志审计显示可疑进程访问防护路径文件的记录，可以将其中的可靠进程添加到进程白名单中。

明朝万达凭借技术特点，继续深化数据安全垂直处理方案，深耕数据安全在公安等各行业和业务行业的应用，形成以数据为中心的产业链闭环。