회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

ZombieZERO EDR for Ransomware

Giải pháp đối phó với Ransomware cho Endpoint dựa trên kỹ thuật phân tích hành vi và công nghệ backup.

ZombieZERO EDR for Ransomware

Giới thiệu ZombieZERO EDR for Ransomware

EDR (EndPoint Detection & Response) là một hệ thống phát hiện / đáp ứng các mã độc mới / biến thể dựa trên hành vi trên thiết bị đầu cuối.

ZombieZERO EDR for Ransomware là sản phẩm duy nhất của Ransomware phát hiện và ngăn chặn Ransomware dựa trên hành vi và sao lưu dữ liệu của Máy chủ trung tâm để bảo vệ dữ liệu của tổ chức.

Ransomware là một loại phần mềm độc hại mã hóa tất cả các tệp hình ảnh và tài liệu trên máy tính và hạn chế truy cập và yêu cầu tiền để đổi lấy giải mã.

※ EDR for Ransomware có thể được vận hành với ZombieZERO Manager (máy chủ quản lý trung tâm, loại Điện Toán Đám Mây)

Các tính năng chính

> Chủ động chặn Ransomware dựa trên hành vi

  • Phát hiện và xử lý mã độc dựa trên hành vi để đáp ứng ngay lập tức cho Ransomware chưa được nhận biết.
  • Tải thông tin mô hình Ransomware lên ZombieZERO Manager và phân phối nó để tránh lây lan sang máy tính khác.
  • Phản hồi thời gian thực đối với phần mềm độc hại hoặc các cuộc tấn công Zero-Day và xâm nhập vào mạng
  • Kiểm soát truy cập thông qua tệp bảo vệ dựa trên phần mở rộng (Whitelist)
  • Bảo vệ thư mục chia sẻ và định tuyến an toàn từ Ransomware

> Bảo mật sao lưu dữ liệu trên máy tính

  • ZombieZERO Manager tạo ra một ổ đĩa ảo an toàn trên ổ đĩa cục bộ của máy tính cá nhân hoặc các phương tiện lưu trữ bên ngoài của người dùng, và dữ liệu sao lưu được lưu trữ.
  • Hỗ trợ các tùy chọn khác nhau như sao lưu dữ liệu (thời gian thực / lịch trình chức năng quản lý), sao chép, một chiều, hai chiều.
  • Quản lý phiên bản: Ngay cả khi một tập tin được sao lưu nhiều lần, nó có thể được khôi phục lại theo yêu cầu của thông tin chỉ mục.
  • Quản lý lưu trữ hiệu quả với kỹ thuật nến cũng như loại bỏ dữ liệu trung khớp
  • Ngăn chặn thất thoát dữ liệu bằng cách cách ly file nhiễm độc trong vùng backup.
  • Chia sẻ và hợp tác các tệp và thư mục cho mỗi người dùng hoặc nhóm theo chính sách người dùng và cho phép (ngoại trừ C: \ drive)
  • Tài liệu trong thư mục chia sẻ được mã hóa, do đó chỉ có người dùng được ủy quyền có thể truy cập chúng.
  • Khi máy tính xách tay bị mất cắp / mất dữ liệu, dữ liệu có thể được xóa từ xa và công việc ở bên ngoài (như chuyến đi kinh doanh) có thể được thực hiện với bảo mật duy trì.
  • Môi trường kinh doanh Điện Toán Đám Mây: Truy cập dữ liệu từ các thiết bị khác nhau mọi lúc, mọi nơi (tùy chọn)

> Private Zone

  • Tạo một ổ ảo an toàn trên ổ đĩa cục bộ của máy tính người dùng bằng Trình Quản lý ZombieZERO
  • Khu vực Cá nhân được quản lý bởi các cá nhân, không nhằm mục đích sao lưu. Chỉ những người dùng được ủy quyền mới có quyền truy cập
  • Đăng nhập dựa trên xác thực máy chủ và tự động đăng xuất khi máy tính không hoạt động trong một thời gian nhất định
  • Chặn và xóa quyền truy cập Private Zone trong trường hợp sử dụng độc hại các kẻ xâm nhập bên ngoài hoặc mất / đánh cắp máy tính.

> Tấn công đòi tiền chuộc

  • Mã độc ransomware phát động tấn công qua cơ chế download, đồng thời khai thác các lỗ hổng bảo mật trên trình duyệt, ứng dụng, và hệ thống thông qua nhiều bước khác nhau.
  • Bước 1: Nhiễm độc các Website, hoặc tấn công và hệ thống mạng để cấy mã độc.
  • Bước 2: Điều hướng truy cập người dùng trong hệ thống mạng đến trang web có chữa mã độc, hoặc các lỗi mã độc có thể tận dụng để phát tán mã độc dựa trên các lỗ hổng trên các phiên bản cũ của Java hay Flash.
  • Bước 3: Cấy các phần mềm đọc hại được mã hóa hoặc ngụy trang vào nạn nhân. Ransomware được kích hoạt sau khi đã được giải mã.
  • Bước 4: Kết nối đến máy chủ trung gian (callback server) thông qua đó kẻ tấn công có thể gửi key mã hóa đến phần mềm mã độc tại phía nạn nhân.
  • Hầu hết Ransomware nguy trang qua các tập tin đính kèm hoặc đường dẫn nhũng trên email. Theo số liệu thống kê của CTA (Cyber Threat Alliance) tháng 10 năm 2015, CryptoWall 3.0 là một ví dụ, thiệt hại mà nó gây ra ước lượng khoảng 325 triệu USD cho người dùng toàn cầu, phương thức lan truyền của nó chủ yếu dựa trên phishing email (67.3%), và cơ chế download (30.7%).

> Phát hiện mã độc dựa trên nhận dạng hành vi

  • ① CryptoLocker : Đánh dấu thời kỳ bùng phát của ransomware khi xuất hiện vào năm 2013. Nó mã hóa tài liệu lưu trên máy tính và đòi tiền chuộc (bitcoin) để giải mã dữ liệu.
  • ② TorrentLocker : Một loại biến thể của CryptoLocker xuất hiện vào tháng 2 năm 2014. Cùng một chia khóa mã hóa và giải mã được sử dụng, ở đây chìa khóa giải mã được lưu trong file.
  • ③ TeslaCrypt – CryptXXX : Crypt XXX nổi lên sau TeslaCrypt với tầm hoạt động lớn vào đầu năm 2016, và bổng nhiên ngừng hoạt động vào giữa năm 2016. Các hoạt động liên quan đến Crypt XXX cũng kết thúc vào cuối tháng 7 năm 2016. Việc phát tán ở đây qua email và cơ chế download, mã độc này hạn chế quyền truy cập dữ liệu bằng cách mã hóa file hoặc thay đổi định dạng file.
  • ④ CryptoWall 4 : Phát tán qua E-mail Phishing ở đây là giả mạo các email quan trọng. Phiên bản mới nhất của loại mã độc này là 4.0, mục đích của mã độc này là mã hóa tên file một cách ngẫu nhiên, gây khó khăn trong việc tìm lại được file gốc đúng định dạng.
  • ⑤ Locky : Xuất hiện vào tháng 2 năm 2016, được phát tán dưới dạng một file tài liệu (file doc) đính kèm trong email qua mạng botnet Dridex. Kể từ tháng 3 năm 2016, file đính kèm được sử dụng là file nén (zip) có chèn một đoạn script. Khi download mã độc này, phần mở rộng của các file trong máy sẽ bị thay đổi gây rất nhiều phiên toái cho người dùng trong việc truy cập lại file gốc. Sau này, một số mã độc khác cũng bắt chước cách thức phá hoại này, ví dụ như Bart, Hucky.
  • ⑥ Cerber : Mã hóa file và sau đó thông báo bằng tiếng nói. Phát tán dưới dạng spam, mã độc có mục đích là thay đổi phần tên mở rộng của file.
  • ⑦ Petya : Mã hóa vùng nhớ chưa Master Boot Record (MBR) và buộc hệ thống phải khởi động liên tục khiến cho máy tính gần như không sử dụng được.
  • ⑧ Mischa : Mã hóa đồng thời MBR hoặc file, một loại khác là mã độc GoldenEye, nó mã hóa đồng thời cả MBR và file
  • ⑨ Parent Ransomware : Cơ chế của nó là khi kích hoạt sẽ tạo ra hoặc download một mã độc ransomware khác.
  • ⑩ Jigsaw : Xuất hiện trong năm 2016 bắt nguồn cảm hứng từ một bộ phim kinh dị Saw. Mã độc sử dụng cơ chễ mã hóa offline, nên không phải có kết nối Internet. Nó cũng có tính năng tự động xóa file mã hóa theo giờ. Khi máy tính bị nhiễm mã độc, dữ liệu sẽ bị xóa theo giờ, và sau một khoảng thời giang xác định (thông thường là 72 giờ quy định bởi kẽ tấn công) dữ liệu sẽ bị xóa.
  • ⑪ HDDCryptor : Xuất hiện tháng 11 năm 2016, bắt đầu từ San Francisco Mỹ. Mã độc này đã làm tê liệt hệ thống phân phát vé của hệ thống tàu điện thành phố. Mã độc này đã gây ra tổn thất nghiêm trọng đến hạ tầng công cộng của thành phố. Trường hợp này khá giống với hệ thống SCADA (Supervisory Control And Data Acquisition). Hơn hê thống lớn với 2000 hệ thống, thành phần nhỏ, với 25% trong số đó đã bị ảnh hưởng. Trong vụ này kẽ tấn công đã đòi số tiền chuộc là 73,000$. Điểm nguy hiểm của mã độc này là nó không chỉ mã hóa MBR, files mà còn lan sang các vùng dữ liệu chỉa sẻ qua mạng.
  • ⑫ Telecrypt : Sử dụng giao thức và phần mềm nhắn tin Telegram để phát tán. Mã độc được phát hiện đầu tháng 11 năm 2016.
  • ⑬ Popcorn Time : Mã độc xuất hiện đầu tháng 12 năm 2016. Khi bị nhiễm loại mã độc này, để có key khôi phục được dữ liệu mã hóa, bạn có 2 lựa chọn, một là trả phí cho kẽ tấn công, hai là bạn phải lây nhiểm thêm cho hai nạn nhân khác. Ở đây kẽ tấn công đã sử dụng một địa chỉ URL chuyên dụng để phát tán ransomware. Nếu không thanh toán tiền chuộc trong 2 tiếng, nó sẽ xóa toàn bộ file đã mã hóa.
  • ⑭ Korea : Mã độc giả dạng phần mềm Kakaotalk, được sử dụng rất phổ biến tại Hàn Quốc. Sau khi mã hóa file, từ khóa ‘encrypted’ sẽ được thêm vào phần mở rộng file. Nó khai thác nguồn mở Hidden Tear đây được xem là mã nguồn mở của Ransomware.
  • ⑮ USA : Mã độc khai thác vấn đề trong cuộc bầu cử tổng thống (Donald Trump)

Phương pháp đáp ứng Ransomware 1) Entrôpi độc hại

‘ZombieZERO EDR for Ransomware’ phát hiện sự gia tăng entrôpi độc hại bằng cách phân loại với Danh mục Phát hiện hành vi như mã hóa API, tệp thao tác API, sự tồn tại của Đăng nhập và số lượng mã hóa. Khi con số entrôpi cao hơn xuất hiện, nó đánh giá quá trình như là Ransomware và cô lập và tải dữ liệu mẫu lên ‘ZombieZERO Manager’. Vì vậy, Người quản lý chia sẻ dữ liệu mẫu với các máy tính khác với ‘EDR for Ransomware’ được cài đặt để ngăn ngừa nhiễm trùng.

npcore

Phương pháp chặn Ransomware 2) Chương trình trái phép

  • Phát hiện / chặn thao tác tập tin trên chương trình trái phép.
  • Cài đặt trên I / O trình điều khiển để ngăn ngừa xung đột với các chương trình khác, do đó ổn định và giảm thiểu việc sử dụng tài nguyên của máy tính.

npcore

Phương pháp sao lưu dữ liệu (2 loại)

  • Loại A lưu trữ dữ liệu sao lưu trong mỗi ổ đĩa cục bộ và loại B lưu trữ trong máy chủ lưu trữ trung tâm.

npcore

Các yêu cầu tối thiểu cho việc cài đặt ZombieZERO EDR for Ransomware

Endpoint Manager
CPU More than DualCore More than Xeon 2.4Ghz
Memory More than 4GB More than 32GB
HDD free space More than 500MB More than 256GB
File system NTFS/ FAT32
OS More than WindowsXP More than WindowsXP
NIC More than 100/1000mbps More than 1GB, 2Port