Quelle est la méthode pour lutter contre le virus ransomware ?

La méthode d'élimination des ransomwares consiste à isoler le serveur/hôte infecté et à prévenir de nouvelles infections. Introduction détaillée : 1. Isoler l'hôte infecté. L'isolement comprend principalement deux moyens : l'isolement physique et le contrôle d'accès signifie principalement la déconnexion du réseau ou de l'alimentation, et le contrôle d'accès fait principalement référence à une authentification stricte et au contrôle des autorisations d'accès aux ressources du réseau. . Pour éviter de nouvelles infections, modifiez immédiatement le mot de passe de connexion du serveur infecté. Deuxièmement, modifiez les paramètres de sécurité des bases de données, des dossiers partagés, des boîtes aux lettres des utilisateurs, etc. pour restreindre l'accès aux utilisateurs illégaux.

Le système d'exploitation de ce tutoriel : système Windows 10, ordinateur DELL G3.

Les ransomwares sont un nouveau type de virus informatique qui se propage principalement par le biais d'e-mails, de chevaux de Troie de programmes et de chevaux de Troie de pages Web. Le virus est de nature malveillante et extrêmement nocif. Une fois infecté, il entraînera des pertes incommensurables pour les utilisateurs. Ce virus utilise divers algorithmes de cryptage pour crypter les fichiers. La personne infectée ne peut généralement pas décrypter les fichiers et doit obtenir la clé privée déchiffrée pour les déchiffrer.

Méthode de propagation

Propagation de l'intrusion du serveur : les attaquants envahissent le serveur via des vulnérabilités du système ou du logiciel, ou se connectent à distance au serveur via un craquage de mot de passe RDP faible. Propagation des attaques de la chaîne d'approvisionnement logicielle : pendant le processus normal de mise à niveau d'un logiciel légitime, les vulnérabilités des fournisseurs de logiciels sont exploitées pour détourner et altérer des logiciels légitimes

Propagation des pièces jointes aux e-mails : des fichiers de script contenant du code malveillant sont inclus dans les pièces jointes des e-mails

Utilisation de la diffusion de pages Web Hooking Horse : la plupart des utilisateurs recrutés n'ont pas installé d'anti- logiciel antivirus

Méthodes de défense

Sauvegarde et isolation automatiques des documentsPiège intelligent : la technologie de piégeage intelligent est un outil puissant pour capturer les ransomwares. La méthode spécifique est la suivante : le logiciel de protection est installé sur le système informatique. Définissez des fichiers pièges partout. ; lorsqu'un virus tente de chiffrer un fichier, il frappe en premier le piège défini, exposant ainsi son comportement d'attaque.

Technologie de suivi du comportement : analyse intelligente multidimensionnelle du comportement du programme. Le logiciel de sécurité peut sauvegarder ou détecter les opérations de fichiers suspectes. Une fois les modifications malveillantes détectées, le contenu du fichier sera immédiatement bloqué et restauré.

Technologie d'analyse intelligente du format de fichier

Technologie d'analyse des flux de données : sur la base de méthodes d'apprentissage automatique, nous pouvons analyser les différences entre les opérations de lecture/écriture de documents par un ransomware et les opérations de lecture/écriture d'une utilisation normale de documents au niveau du flux de données à l'intérieur de l'ordinateur. identifier le comportement d'attaque des ransomwares, capturant et filtrant ainsi les ransomwares

Comment gérer

Isoler les hôtes infectés. Lorsqu'il est confirmé que le serveur a été infecté par le virus ransomware, l'hôte infecté doit être isolé immédiatement. L'isolement comprend principalement deux moyens : l'isolement physique et le contrôle d'accès. L'isolement physique signifie principalement la déconnexion du réseau ou de l'alimentation, et le contrôle d'accès fait principalement référence. à l'autorisation d'accéder aux ressources du réseau. Effectuer une certification et un contrôle stricts. Prévenir les nouvelles infections. Cela comprend principalement la modification des mots de passe de connexion, l'ajout de politiques, etc. Les principales opérations pour changer le mot de passe de connexion sont : changer immédiatement le mot de passe de connexion du serveur infecté ; deuxièmement, modifier les paramètres de sécurité des bases de données, des dossiers partagés, des boîtes aux lettres des utilisateurs, etc. pour restreindre l'accès aux utilisateurs illégaux. Les principales étapes pour ajouter la politique sont les suivantes : utiliser des équipements de sécurité côté réseau pour une isolation plus poussée, tels que des pare-feu ou des systèmes de surveillance de la sécurité des terminaux ; éviter d'exposer le service Bureau à distance (RDP, le port par défaut est 3389) au réseau public ; , 139, 135, etc. Ports inutiles.

Méthodes de gestion des erreurs

1 : Utilisation d'un périphérique de stockage mobile

2 : Lecture et écriture de fichiers disque sur le serveur/hôte "hit"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!