云超密攻控易勒索防护
云超密攻控易勒索软件保护使您能够有效地检测、阻止和预防勒索软件攻击。云超密攻控易在您的会话中检测到勒索软件后会立即做出反应。它同时具有 静态和行为分析:
-
静态 分析 使软件能够在扩展名称更改时立即做出反应
-
行为 分析 着眼于程序如何与文件交互并检测新的勒索软件
您可以通过单击“勒索软件保护”选项卡上的“启用勒索软件保护”来启用它:
学习期
启用勒索软件防护功能后,学习期将自动激活。在学习期间,勒索软件保护功能检测到的所有程序都将被视为误报,并能够恢复执行。检测为误报的程序将自动添加到允许的程序列表中。
此功能允许在生产服务器上配置勒索软件保护,而不会中断其活动。我们建议从 5 天的学习期开始,以确定所有合法的业务应用程序。
如果您停止学习期,它将停用勒索软件保护。单击“勒索软件保护已禁用”按钮以重新激活学习期。
勒索软件防护措施
它会快速扫描您的磁盘并显示负责的文件或程序,此外还会提供受感染项目的列表。云超密攻控易会自动停止攻击并隔离程序以及在其干预前加密的文件。
只有管理员可以通过在底行输入所需程序的路径并单击“添加”来将它们列入白名单:
勒索软件保护报告
云超密攻控易通过在早期阶段删除勒索软件来防止对企业造成灾难性事件。
管理员可以访问有关攻击源和正在运行的进程的信息,因此了解如何预测这些威胁。
注意: 勒索软件保护会观察程序如何与系统和个人文件交互。为确保更高级别的保护,勒索软件保护会在勒索软件经常开始攻击的关键文件夹中创建诱饵文件。因此,一些隐藏文件可能会出现在用户的桌面和文档文件夹以及其他位置。当它检测到恶意行为时,它会立即停止勒索软件(或询问登录的用户是否是管理员)。勒索软件保护使用纯粹的行为检测技术,不依赖于恶意软件签名,使其能够捕获尚不存在的勒索软件。
添加 SMTP 配置 - 电子邮件警报
您可以配置您的 SMTP 设置,以便 TSplus Advanced Security 通过单击勒索软件激活下方的按钮向您发送电子邮件警报以突出显示重要的安全事件:
输入您的 SMTP 主机名、端口并选中使用 SSL 框并将端口从 25 更改为 465(如果您希望使用 SSL)。
输入 SMTP 用户名和密码,以及发件人和收件人地址。可以通过在保存 SMTP 设置时发送测试来验证电子邮件设置。
快照
勒索软件保护拍摄的快照在快照选项卡下可见:
单击相应的按钮可以刷新列表。每个元素都可以恢复或删除。
隔离
隔离的程序在隔离选项卡下可见:
每个元素都可以恢复或删除。
默认文件扩展名忽略列表
忽略的文件不用于检测可能的恶意操作,并且在修改时不保存。这个想法是排除对大文件或不相关文件(例如日志文件)的任何操作。
-
sys
-
dll
-
exe
-
tmp
-
~tmp
-
temp
-
cache
-
lnk
-
1
-
2
-
3
-
4
-
exe
-
tmp
-
~tmp
-
temp
-
cache
-
lnk
-
1
-
2
-
3
-
4
-
5
-
LOG1
-
LOG2
-
customDestinations-ms
-
log
-
wab~
-
vmc
-
vhd
-
vhdx
-
vdi
-
vo1
-
vo2
-
vsv
-
vud
-
iso
-
dmg
-
sparseimage
-
cab
-
msi
-
mui
-
dl
-
wim
-
ost
-
o
-
qtch
-
ithmb
-
vmdk
-
vmem
-
vmsd
-
vmsn
-
vmss
-
vmx
-
vmxf
-
menudata
-
appicon
-
appinfo
-
pva
-
pvs
-
pvi
-
pvm
-
fdd
-
hds
-
drk
-
mem
-
nvram
-
hdd
-
pk3
-
pf
-
trn
-
automaticDestinations-ms
关于备份文件扩展名的注意事项
用于保存修改文件的文件扩展名是:snapshot。 除云超密攻控易高级安全服务外,驱动程序禁止对这些文件进行任何修改或删除操作。停止服务会删除备份的文件。为了手动删除这些文件,您必须暂时卸载驱动程序。
备份文件配置
默认情况下,保存文件的目录位于云超密攻控易的安装目录下,名为“快照”。但是,可以为该目录定义另一个位置。这允许管理员根据需要定义位于更快磁盘 (SSD) 或更大磁盘上的目录。备份目录路径不能是UNC路径,形式为:\\<computer name>\<backup directory>\
将备份实用程序添加到白名单
我们建议在白名单中添加备份实用程序。