安全是有分量的

抗ddos_ddos高防ip系统_超稳定

2021-08-24 01:00栏目:网络

Cryptolocker监控–如何构建自己的仪表板

上周五,我们的一位公共部门客户被Cryptolocker勒索软件击中。因为他们的LANGuardian一直在监控网络,如何防御最新的ddos,它被证明是一个关键的"进入系统",用于快速调查攻击和取证。它有所有的细节来真正理解发生了什么。在很短的时间内,他们能够追踪到受感染的主机并获得相关用户名,因此疫情很快得到控制。

这篇博客文章介绍了如何设置自己的Cryptolocker监控仪表板。此处显示的示例使用LANGuardian系统,但如果您通过其他方式收集文件和网络活动,则可以采用类似的方法。

此Cryptolocker监控仪表板的示例如下所示。这是来自一个没有受到勒索软件攻击的网络。大多数报告都没有显示结果,只报告了少量文件重命名,防御ddos,这将被视为正常的网络活动。

步骤1-注意.micro文件扩展名

我们创建的第一份报告检查了任何扩展名为.micro的文件。已知这些文件与TeslaCrypt勒索软件和数千个当您被此恶意软件攻击时,这些将出现在您的网络上。报告应保持空白。如果显示结果,则应检查列出的所有客户端计算机是否存在Cryptolocker感染。

LANGuardian报告–使用Windows文件共享报告部分中的文件名搜索。使用文件名筛选器显示任何扩展名为.micro的文件。

步骤2-跟踪重命名大量文件的客户端。

当Cryptolocker攻击时,它会加密文件,同时重命名文件,服务器ddos防御怎么弄,php怎么防御cc,使其具有不同的文件扩展名。

您应该创建一份报告,根据文件扩展名的数量关注顶级客户端文件重命名。在正常操作中,您不应在1小时内看到数千次重命名。该报告通常会显示结果,但您正在关注与数百\数千或重命名

LANGuardian报告相关的客户端–使用Windows文件共享报告部分的Top clients::by Num of Events。使用操作过滤器仅显示重命名。

第3步-Cryptolocker Canary。

勒索软件感染可导致创建诸如INSTALL_TOR.txt和DECRYPT_INSTRUCTION.txt之类的文件。TOR(洋葱路由器)是启用匿名通信的免费软件,网络罪犯使用它与您通信。

Cryptolocker如果在网络共享上检测到任何这些文件,阿里云ecs有ddos防御吗,可以通过发出警报来创建Canary。您只需要创建一个报告来查找这些文件。在正常操作中,报告应保持空白。如果显示结果,则应检查客户端计算机是否存在Cryptolocker感染。

LANGuardian报告–使用Windows文件共享报告部分中的文件名搜索。使用文件名筛选器显示名为INSTALL_TOR.txt或DECRYPT_INSTRUCTION.txt的任何文件。

步骤4–清除与其他加密变体相关的文件名。

每天都会出现新的Cryptolocker变体。像Tox这样的应用程序只需要很少的技术技能就可以使用,并且可以让几乎所有人通过三个简单的步骤部署勒索软件。

已知与其他Cyrpto变体相关的文件类型包括restore_Files*、*djqfu**或*.aaa

LANGuardian Report–使用Windows文件共享报告部分中的文件名搜索。使用文件名过滤器显示名为restore_files**、*djqfu**或以*.aaa

结尾的任何文件。报告应保持空白。如果显示结果,则您应该检查客户端计算机是否存在Cryptolocker感染。

步骤5–重点关注Cryptowall 4.0感染。

Cryptowall 4.0感染可能会导致创建诸如help_your_files**或help_decrypt

之类的文件。如果在网络共享上检测到这些文件,请查看设置警报。您可以先设置一个报告来查找这些文件。在正常操作中,报告应保持空白。如果显示结果,则应检查客户端计算机是否存在Cryptolocker感染。

LANGuardian报告–使用Windows文件共享报告部分中的文件名搜索。使用文件名过滤器显示任何名为"帮助\你的\文件*"或"帮助\解密"