|
【案例分享】某公司EDR防御勒索病毒成功案例
某公司EDR作为业界领先的终端安全防护产品,已经帮助众多客户成功抵御勒索病毒攻击,成为终端安全的坚实防护屏障。现在我们通过几个典型案例来了解某公司EDR在勒索病毒防护方面的卓越能力。
案例一:广州某科技股份公司 【项目背景】 客户旗下拥有多家业务子公司,在国内和海外均设有技术服务中心。内部有几百台的服务器需要保护,版本为Windows2016和CentOS 7.x。由于近期有不少企业爆发勒索病毒事件,客户因为网络安全建设的需求,有计划采购终端安全的产品。客户想保护核心的服务器和部分终端,主要防御从工厂攻击到服务器的SMB暴破和勒索病毒。
【某公司EDR勒索防御表现】 1.成功处置GandCrab5.2勒索病毒:客户监控到内网有大量445非法连接,根据端口找到占用445的程序为mssecsvc.exe,然后直接通过EDR下发扫描出GandCrab 5.2勒索病毒,成功处置清理了勒索病毒,及时防止勒索病毒的扩散和加密,避免了重要业务的停工。 2.客户高度认可:客户在同时测试某公司EDR产品与友商产品时,友商的产品没有SMB暴力破解检测功能,出现过防护失败的情况,而某公司EDR具有更强的勒索病毒识别检测能力,勒索防护能力得到实战验证,客户更加认可某公司EDR的能力。
案例二:某国际知名家庭用品公司 【项目背景】 客户是大型家庭用品公司,其业务遍布全国,员工规模数千人。 2019年6月份,客户内部服务器出现服务器不能访问现象,登陆服务器查看,服务器被加密,勒索病毒种类为Crysis勒索病毒家族,众多生产服务器受影响,产线停产。
【某公司EDR勒索防御表现】 1.成功处置Crysis勒索病毒:安装两家友商产品的终端均有被加密,对生产造成严重影响。某公司EDR技术团队在确认内网主机加密现象后,给客户部署了某公司EDR,成功防御了勒索病毒,并成功清除母体文件。 2.客户高度认可:国内某友商的产品虽然在部分终端有弹出拦截窗口,但文件等已被加密,卡住不动无法执行,此外只安装友商产品的所有终端均被勒索加密!而安装了EDR的主机和服务器均未感染勒索病毒,对勒索病毒进程phexec2.exe进行自动查杀,通过某公司EDR的勒索诱捕功能成功防御勒索并病毒,使客户的PC不受影响,获得客户高度认可。
案例三:大连某集团公司 【项目背景】 客户是大型国有控股公司,在8月份这段时间发现病毒泛滥,经排查,发现有内部文件中了勒索病毒。 【某公司EDR勒索防御表现】 通过某公司EDR查看病毒事件相关详情,定位和获取感染文件信息; 通过感染文件分析,成功追溯到病毒文件; 对病毒文件样本进行分析,确认是勒索病毒,使用EDR进行全网隔离处置,成功帮助客户解决问题。
案例四:某知名在线游戏公司 【项目背景】 客户是知名的在线游戏开发和运营商, 8月份,客户发现大量服务器和PC被Sodinokibi勒索病毒加密,且在同一vlan下,根据实际情况得知,该 vlan为一个分支。 【某公司EDR勒索防御表现】 某公司EDR团队确认这是一次勒索病毒事件,对受感染服务器以及主机已经断网处理,发现主机存在暴力破解的痕迹, 结合该勒索病毒家族为 Sodinokibi家族,初步判断为RDP暴力破解,EDR安全团队快速响应,使用EDR成功帮客户清理勒索病毒,防止被再次感染。 以下是具体的勒索病毒处置过程: Step 1,对所有被感染服务器进行断网处理,并在整个内网使用EDR的微隔离开启了封堵3389和445的策略,针对PC端用户第一时间断开网络,及时遏制风险扩散。 Step 2,与客户同步感染情况,当时暂时未发现其余服务器或PC受到勒索病毒影响。 Step 3,客户针对被感染服务器与主机重装系统,某公司EDR团队配合客户对重装的纯净主机及未感染的主机安装EDR终端检测响应产品,有效的防止再次被黑客攻破。 截止至今,使用某公司EDR防护的终端未发现二次感染的情况,并且开启了webshell、暴力破解、微隔离、勒索诱捕功能对勒索病毒进攻的整个路径进行层层阻断,有效遏制病毒扩散和二次感染。
【小结】 某公司EDR在防御勒索病毒方面的表现受到越来越多用户的认可,在当前未知病毒不断演化、高级威胁持续产生的大环境下,某公司EDR将不断聚焦最前沿的探索,给客户的终端安全保驾护航。
小伙伴们,你们是否使用了EDR,有哪些成功防护的经历,欢迎来分享! | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-10-14 14:41
工程师2级 
