勒索病毒、挖矿程序等持久化、顽固型病毒已经成为网络安全最大的威胁。云安全中心病毒防御功能针对此类病毒提供扫描、告警、深度查杀和数据备份的能力,可有效预防此类病毒入侵您的服务器。

背景信息

病毒防御为基础杀毒版、高级版和企业版增值服务,为您提供病毒查杀和防勒索数据备份服务。基础版用户需要先升级到基础杀毒版、高级版或企业版,才可使用病毒查杀功能。基础杀毒版、高级版或企业版用户购买防勒索容量后才可使用防勒索数据备份功能。

在使用云安全中心病毒防御功能时,建议您同时在设置页面开启病毒拦截功能。开启病毒拦截后,云安全中心会自动检测主流木马病毒、勒索软件、挖矿病毒、DDoS木马并自动隔离查杀。更多信息请参见主动防御病毒拦截和病毒防御对比

说明 防勒索数据备份功能支持的操作系统版本有限,不在支持范围内的服务器将无法进行数据备份。支持的操作系统请参见防勒索支持的操作系统

功能说明

针对勒索病毒,病毒防御提供了通用防勒索解决方案。更多信息请参见勒索病毒防护原理。病毒防御还为您提供以下功能:
  • 病毒扫描

    云安全中心安全专家团队通过对海量病毒样本持久化攻击方式的自动化分析,推出了阿里云机器学习病毒查杀引擎。病毒防御提供的病毒扫描功能使用阿里云机器学习病毒查杀引擎和实时更新的病毒库,可以帮助您及时发现此类危害性较大的病毒。您可以创建病毒扫描任务,查看您的服务器是否已被病毒入侵。更多信息请参见扫描病毒

  • 告警处理

    病毒防御提供处理病毒查杀告警的能力,支持对勒索、挖矿等顽固性病毒进行一键深度查杀。深度查杀通过查杀恶意病毒进程、隔离恶意文件和清除黑客植入的持久化的方式可以彻底清理此类顽固性病毒。更多信息请参见处理病毒查杀告警

  • 数据备份
    病毒防御提供防勒索数据备份服务。如果您的服务器被勒索病毒入侵,您可以及时恢复数据,降低勒索病毒给您带来的损失。您可以创建防护策略备份核心服务器的数据。更多信息请参见创建防护策略。需要恢复服务器数据时,您可以创建恢复任务。更多信息请参见创建恢复任务
    说明
    • 防勒索功能仅支持备份阿里云ECS服务器数据,不支持备份非阿里云服务器数据。您只能为您的阿里云ECS服务器创建防护策略。
    • 防勒索备份数据采用增量备份的方式。初次进行数据备份时会全量备份防护目录下的数据,后续再次进行备份时,云安全中心只备份有变化(修改、增加或删除)的文件。

勒索病毒防护原理

勒索病毒对企业或个人用户来说都是危害极大的安全风险,如果企业或个人服务器上的核心数据或文件被加密,除了缴纳赎金,基本上无法解密。防勒索病毒已经给无数企业和个人造成了难以估量的损失。为了帮助企业或个人用户应对勒索病毒,阿里云云安全中心发布了通用防勒索解决方案功能,帮助您实现逐层递进的纵深式防御。

说明
  • 防勒索数据备份功能现已支持西南1(成都)、华东2金融云(上海)、华北2阿里政务云、华东2(上海)、华东1(杭州)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)、华北1(青岛)、中国香港、新加坡、印度尼西亚(雅加达)、澳大利亚(悉尼)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、日本(东京)和印度(孟买)地域。
  • 目前,仅支持使用VPC(专有网络)的ECS服务器进行防勒索备份,暂不支持使用经典网络的ECS服务器进行防勒索备份。
通用防勒索解决方案为您提供逐层递进的纵深式防御体系:
  • 实时防御已知勒索病毒

    借助云上全方位的威胁情报,云安全中心实现了对大量已知勒索病毒的实时防御。在服务器被病毒感染的第一时间拦截勒索病毒,避免发生文件被病毒加密而进行勒索的情况。

  • 诱捕、拦截新型未知勒索病毒
    通过放置诱饵的方式,云安全中心实时捕捉可能存在的勒索病毒行为。针对新型未知的勒索病毒,一旦识别到有异常加密行为发生,会立刻拦截病毒,同时通知您进行排查清理。
    说明 您可以在云安全中心控制台设置页面的主动防御区域开启防勒索(诱饵捕获)功能。开启该功能后,云安全中心为捕捉勒索病毒会在您的服务器中设置目录陷阱。如果您服务器中出现可疑目录,请您及时联系售后人员或提交工单确认该目录是否为云安全中心设置的诱饵目录。诱饵目录不会对您的业务造成影响,也不存在任何的恶意行为,并且不支持手动删除。
  • 支持恢复被病毒感染文件

    在对勒索病毒进行防御的同时,云安全中心还支持文件备份服务,能定期对指定文件进行备份,支持按时间或文件版本恢复服务器数据。在发生极端情况导致文件被加密时,能够通过文件恢复的方式找回数据,确保服务器数据的安全。

防勒索支持的操作系统

系统 支持的版本
Windows 7、8、10
Windows Server 2008 R2、2012、2012 R2、2016、2019
RHEL 7.0、7.2、7.4
CentOS 6.5、6.9、7.2、7.3、7.4、8.2
Ubuntu 14.04、16.04、18.40、20.04
SUSE Linux Enterprise Server 11、12、15
说明 防勒索仅支持在以上表格中的操作系统安装防勒索客户端,不在以上表格中的操作系统将无法安装防勒索客户端并进行数据备份。建议您在使用防勒索功能前,先确认您服务器的操作系统是否在以上支持范围内。

病毒防御建议

使用云安全中心病毒防御功能防护勒索病毒时,您需要进行以下操作:
  1. 事前:开通病毒防御功能并创建防护策略

    病毒防御提供数据备份功能。您需要开通病毒防御功能并创建防护策略才能备份您的核心服务器数据。更多信息请参见开通服务创建防护策略

  2. 事中:处理勒索病毒告警并创建恢复任务
    云安全中心为您提供勒索病毒告警功能。如果您收到了勒索病毒告警,建议您及时处理告警并排查告警出现原因。更多信息请参见查看和处理告警事件。如果您的服务器数据已被勒索病毒加密,您可以创建恢复任务来恢复被加密的数据。更多信息请参见创建恢复任务勒索病毒告警
  3. 事后:排查服务器安全漏洞并进行安全加固
    为了进一步降低被勒索病毒攻击的风险,建议您同时做好以下三点:
    • 定期修复系统漏洞,避免漏洞被黑客利用。您可以使用云安全中心漏洞修复功能修复系统漏洞。更多信息请参见漏洞修复概述
    • 服务器中不要使用弱密码,重要的服务器开启双因子认证。
    • 避免不必要的网络端口暴露在互联网,减小病毒的攻击面。