查看勒索病毒防護

前提條件

已購買主機安全版本為旗艦版或網頁防篡改版。

約束限制

• 開啟勒索病毒防護時，需要同時配置服務器備份并及時處置勒索病毒告警、修復系統及中間件漏洞。如果不開啟服務器備份，遭受攻擊后較大概率無法恢復業務。
• 未開啟旗艦版、網頁防篡改版、容器版防護不支持勒索相關操作。
• 按需計費模式下，不支持勒索病毒防護。

勒索病毒防護概覽

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在導航樹選擇“主動防御 > 勒索病毒防護”，查看勒索防護詳情，參數說明如表所示。

勒索病毒概覽

勒索病毒概覽參數

參數名稱	參數說明	取值樣例
時間范圍	選擇目標時間周期查看勒索病毒防護的檢測情況和統計數據。 取值范圍 ：“最近24小時”、“最近3天”、“最近7天”、“最近30天”。	“最近30天”
防護統計	已防護服務器	已開啟勒索病毒防護的服務器總數。
防護事件	所選時間范圍內勒索病毒防護檢測發現的事件總數。	-
備份統計	已備份服務器	已備份數據的服務器數量。
備份恢復任務	服務器數據恢復的任務數量，單擊數量值可查看所有任務進度詳情。	-
已使用容量/總容量	備份數據的使用容量和總容量。	-
備份策略	備份規則和保留規則詳情，同時可修改備份策略。	-
防護服務器	服務器名稱/ID	服務器的名稱和ID，單擊服務器名稱可查看服務的詳情。
IP地址	防護服務器的彈性公網IP和私有IP。	-
操作系統	服務器所屬的操作系統。	Linux
服務器狀態	服務器當前狀態。 運行中 、關機	-
勒索防護狀態	目標服務器的勒索防護狀態。 開啟中：目標服務器正在開啟勒索防護。 已開啟：目標服務器已開啟勒索防護。 關閉中：目標服務器勒索防護正在關閉。 未開啟：目標服務器未開啟勒索防護，單擊“立即開啟”可開啟勒索防護。	已開啟
防護策略	該服務器使用的防護策略名稱。	-
防護事件	所選時間范圍內已檢測防護到的事件數量。	-
備份功能	顯示開啟或關閉防護中的服務器數據備份狀態。 已開啟：已開啟目標服務器全量數據自動備份。 未開啟：未開啟目標服務器全量數據自動備份，單擊“立即開啟”可開啟備份。	已開啟
已有備份數	存儲庫已經產生備份數量。	18
防護策略	防護策略名稱	防護策略的名稱。
防護動作	策略的防護機制。 告警：發現病毒，僅產生告警事件。 告警并自動隔離：發現病毒，產生告警事件的同時系統自動隔離發現的病毒。	告警并自動隔離
誘餌防護	在服務器中存放無效數據的文件和目錄，作為預防被攻擊后訪問的目錄和文件。 在開啟服務器的勒索病毒防護時，誘餌防護會默認開啟。 開啟誘餌防護后，系統會在防護目錄和關鍵目錄（不包括排除目錄）中部署誘餌文件。誘餌文件會占用小部分服務器資源，不會影響您服務器的正常運行。	開啟
運行時檢測	目標策略運行時檢測的狀態。 開啟 、未開啟	未開啟
操作系統	目標策略綁定服務器的操作系統。	Windows
關聯服務器數	目標防護策略被關聯的服務器數量。	-

查看備份恢復任務

                    
說明
                    
主機安全勒索防護的備份依附于云備份服務，執行備份相關操作須已購買云備份服務。
                    
                  
                  

1、登錄管理控制臺。

2 、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在導航樹選擇“主動防御 > 勒索病毒防護”，單擊“備份恢復任務”的數量值。

5、彈出備份恢復任務彈窗，查看所有備份恢復詳情，可通過服務器名稱和恢復狀態來篩選或檢索目標服務器，參數說明如表所示。

備份恢復任務詳情

備份恢復任務參數說明

參數名稱	參數說明	取值樣例
服務器名稱/ID	執行備份恢復任務的服務器名稱/ID。	-
備份名稱	備份的數據源文件名稱。	-
恢復狀態	目標服務器備份恢復的狀態。 成功、 跳過、失敗、正在進行、超時 、等待。若出現跳過、失敗、超時狀態，重新恢復目標備份數據源即可。	成功
開始/結束時間	備份恢復的時間段（包含開始時間和結束時間）。	-

恢復服務器數據

                    
說明
                    
主機安全勒索防護的備份依附于云備份服務，執行備份相關操作須已購買云備份服務。
                    
                  
                  

1、 登錄管理控制臺。

2 、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3 、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4 、在導航樹選擇“主動防御 > 勒索病毒防護”，選擇“防護服務器”，在目標服務器的“操作”列選擇“更多”單擊“恢復數據”。

5 、在彈窗中查看目標服務器的信息，通過篩選備份狀態和搜索備份名稱檢索需要恢復的備份數據源，參數說明如表所示。

篩選備份數據源

備份數據源參數說明

參數名稱	參數說明	取值樣例l
備份名稱	備份的數據存儲文件名稱。	-
備份狀態	服務器數據備份的狀態。 可用 、正在創建 、正在刪除 、 正在恢復、錯誤 當為“可用”狀態時，備份數據源可進行恢復。	-
創建時間	目標備份數據源的備份時間。	-

6、在目標備份數據源的“操作”列單擊“恢復數據”。

                    
說明
                    
僅可對“備份狀態”為“可用”的備份數據進行恢復。
                    
                  
                  

7、 在彈出的對話框中確認服務器、是否重啟等信息，確認無誤，單擊“確認”，執行自動恢復。

恢復服務器

擴充備份容量

                    
說明
                    
主機安全勒索防護的備份依附于云備份服務，執行備份相關操作須已購買云備份服務。
                    
                  
                  

1、 登錄管理控制臺。

2 、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、 在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4 、在導航樹選擇“主動防御 > 勒索病毒防護”，進入防護服務器列表，單擊目標服務器“操作”列的“擴容”。

5 、在彈出窗口中輸入“新增容量（GB）”。

輸入新增容量值

6、確認無誤，單擊“確認”，頁面跳轉至支付頁面，支付完成后可返回“防護服務器”頁面查看目標服務器存儲容量。

• 若未完成支付，目標服務器的“存儲狀態”會顯示“被鎖定”，支付后，狀態恢復正常。

修改備份策略

                    
說明
                    
主機安全勒索防護的備份依附于云備份服務，只有購買了云備份服務備份策略才會生效。
                    
                  
                  

1 、登錄管理控制臺。

2 、 在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3 、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在導航樹選擇“主動防御 > 勒索病毒防護”，進入防護服務器列表，單擊目標服務器“備份策略狀態”列的策略名稱。

5 、在彈出對話框中配置策略，參數詳情如表所示。

配置策略

策略參數說明

參數名稱	參數說明	取值樣例
備份周期	選擇按周或按天自動執行備份。 按周：至少選擇一周中的某一天。 按天：最少每隔1天、最大每隔30天執行自動備份。	按周
備份時間	選擇固定的時間點進行自動備份。 配置策略案例說明： 策略1：備份周期選擇按周（周三、周六），備份時間選擇00：00、13：00。釋義：在每周三和每周六的00：00、13：00兩個時間點實行自動備份。 策略2：備份周期選擇按天（每隔2天），備份時間選擇02：00、14：00。釋義：即日起，每隔兩天之后的02：00、14：00執行自動備份。	00：00、07：00
時區	選擇備份時間所屬的時區。	UTC+08：00

6 、確認無誤，單擊“下一步”，配置備份數據保留規則，選擇不同的保留類型會配置不同的參數。

• “保留類型”：“按數量”

配置備份規則參數說明如表所示。

按數量配置保留規則參數說明

參數名稱	參數說明	取值樣例
配置詳情	配置保留最新備份的數量。 須知 此處配置的備份保留數量為系統最終保留的份數，不受高級選項的規則影響。 例：“配置詳情”填寫保留備份數量為“30”，“高級選項”填寫“月備份規則”值為“3”（即3個月，約90天），最終系統保留的備份數量為最新的30份 。	30
高級選項（可選）	以日、周、月、年為單位周期，配置保留周期內每天最新的一個備份。 日備份規則：以天為單位，保留自定義天以內每天最新的一個備份。 周備份規則：以周為單位，保留自定義周以內每天最新的一個備份。 月備份規則：以月為單位，保留自定義月以內每天最新的一個備份。 年備份規則：以年為單位，保留自定義年以內每天最新的一個備份。 若同時填寫多個規則，保留備份按照時間最長的規則執行。	月備份規則：3

• “保留類型”：“按時間”

配置備份規則參數說明如表所示。

按時間配置保留規則參數說明

參數名稱	參數說明	取值樣例
配置詳情	選擇自定義或固定保留備份數據的周期，選擇后自動開啟備份保留，滿足周期備份數據后系統將自動刪除更早的數據。 自定義：輸入以天為單位的數值，備份數據滿足自定義天數的保存周期后，系統自動刪除最早產生的備份數據。 1個月：備份數據滿足1個月的保存周期后，系統自動刪除最早產生的備份數據。 3個月：備份數據滿足3個月的保存周期后，系統自動刪除最早產生的備份數據。 6個月：備份數據滿足6個月的保存周期后，系統自動刪除最早產生的備份數據。 1年：備份數據滿足1年的保存周期后，系統自動刪除最早產生的備份數據。	3個月

• “保留類型”：“永久保留”

備份數據永久保留。

                    
說明
                    
如果該策略曾經產生過備份副本，并且過去是“按時間”管理，歷史備份仍然按照保留時間規則進行刪除。
                    
                  
                  

7、配置完成，單擊“確認”，完成備份策略修改。

開啟勒索病毒防護

勒索防護說明

勒索防護不支持主動攔截查殺，只支持檢測，若需檢測結果進行隔離查殺，操作詳情請參見開啟惡意程序隔離查殺。

前提條件

已購買主機安全版本為旗艦版或網頁防篡改版。

約束限制

• 開啟勒索病毒防護時，需要同時配置服務器備份并及時處置勒索病毒告警、修復系統及中間件漏洞。如果不開啟服務器備份，遭受攻擊后較大概率無法恢復業務。
• 未開啟旗艦版、網頁防篡改版、容器版防護不支持勒索相關操作。
• 按需計費模式下，不支持勒索病毒防護。

操作步驟

1、登錄管理控制臺。

2 、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3 、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、選擇“主動防御 > 勒索病毒防護 > 防護服務器”，單擊“為服務器開啟防護”。

5 、在彈出的對話框選擇目標系統，開啟勒索防護，選擇或新建策略，選擇后單擊“下一步”，參數說明如表所示，以下以Linux為例。

勒索防護配置參數說明

參數名稱	參數說明	取值樣例
服務器操作系統	選擇需要防護的服務器系統。	Linux
勒索防護	開啟：關閉：	-
防護策略	您可選擇已有策略或新建防護策略。 選擇已有策略：在“選擇防護策略”項選擇已有的目標策略即可。 新建防護策略：詳情請參見新建防護策略。	選擇已有策略
選擇防護策略	選擇已有的防護策略。	-

6、 配置完成，單擊“下一步”，配置服務器備份的備份規則。

• 服務器備份必須開啟。
• 開啟服務器備份，單擊“保留規則”項的“修改備份策略”，可對備份規則進行修改。

7 、配置完成，單擊“下一步”，進入服務器選擇頁面，通過分組篩選或服務器名稱搜索目標服務器，勾選目標服務器。

8、確認無誤，單擊“確認”，開啟服務器勒索防護。

9、左側導航樹選擇“主動防御 > 勒索病毒防護”，選擇“防護服務器”頁簽，查看已開啟勒索防護的服務器。

防護策略管理

                    
注意
                    
目前勒索病毒防護策略的新建必須通過開啟防護的流程才能創建。
                    
                  
                  

約束限制

• 開啟勒索病毒防護時，需要同時配置服務器備份并及時處置勒索病毒告警、修復系統及中間件漏洞。如果不開啟服務器備份，遭受攻擊后較大概率無法恢復業務。
• 未開啟旗艦版、網頁防篡改版、容器版防護不支持勒索相關操作。
• 按需計費模式下，不支持勒索病毒防護。

新建防護策略

1、 登錄管理控制臺。

2、 在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、 在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、 選擇“主動防御 > 勒索病毒防護 > 防護服務器”，單擊“為服務器開啟防護”。

5、 在彈出的對話框選擇Linux或Windows系統，開啟勒索防護，“防護策略”選擇“新建防護策略”，參數說明如表所示。

以下以linux為示例,防護策略參數說明

參數名稱	參數說明	取值樣例
服務器操作系統	選擇需要防護的服務器系統。	Linux
勒索防護	根據需求開啟戶關閉勒索防護，建議開啟。 開啟：關閉：
防護策略	您可選擇已有策略或新建防護策略。 選擇已有策略：在“選擇防護策略”項選擇已有的目標策略即可。 新建防護策略。	新建防護策略
防護策略名稱	自定義防護策略名稱。	-
防護動作	發現告警事件后的處理方式。 告警并自動隔離、僅告警	告警并自動隔離
誘餌防護	開啟誘餌防護后，系統會在防護目錄和關鍵目錄（不包括排除目錄）中部署誘餌文件。誘餌文件會占用小部分服務器資源，不會影響您的服務器正常運行。 在開啟服務器的勒索病毒防護時，誘餌防護狀態為默認開啟。 說明 當前僅Linux系統支持動態生成和部署誘餌文件，Windows系統僅支持靜態部署誘餌文件。	開啟
誘餌防護目錄	被防護的目錄（不包括子目錄）。 多個目錄請用英文分號隔開，最多支持填寫20個防護目錄。 操作系統為Linux時必填項。	Linux：/etc/lesuo Windows：C:\Test
排除目錄（選填）	不進行部署誘餌文件的目錄。 多個目錄請用英文分號隔開，最多支持填寫20個排除目錄。	Linux：/test Windows：C:\ProData
防護文件類型	被防護的服務器文件類型或格式，自定義勾選即可。 涵蓋數據庫、容器、代碼、證書密匙、備份等9大文件類型，共70+種文件格式。 僅Linux支持，且為必選項。	全選
進程白名單	添加自動忽略檢測的進程文件路徑，可在告警中獲取。 僅Windows支持。	-

6、配置完成，單擊“下一步”，配置服務器備份的備份規則。

• 服務器備份必須開啟。
• 開啟服務器備份，單擊“保留規則”項的“修改備份策略”，可對備份規則進行修改。

7、配置完成，單擊“下一步”，進入服務器選擇頁面，通過分組篩選或服務器名稱搜索目標服務器，勾選目標服務器。

8、確認無誤，單擊“確認”，開啟服務器勒索防護，同時防護策略創建成功。

9、左側導航樹選擇“主動防御 > 勒索病毒防護 ”，選擇“防護策略”頁簽，查看已創建的防護策略。

修改防護策略

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、選擇“主動防御 > 勒索病毒防護 > 防護策略”。

5、單擊目標防護策略操作列的“編輯”，彈出防護策略編輯頁面，對策略信息和關聯服務器進行編輯，參數說明如表所示。

以下以Linux為例，防護策略參數說明：

參數名稱	參數說明	取值樣例
服務器操作系統	選擇需要防護的服務器系統。	Linux
勒索防護	根據需求開啟戶關閉勒索防護，建議開啟。 開啟：關閉：
防護策略	您可選擇已有策略或新建防護策略。 選擇已有策略：在“選擇防護策略”項選擇已有的目標策略即可。 新建防護策略。	新建防護策略
防護策略名稱	自定義防護策略名稱。	-
防護動作	發現告警事件后的處理方式。 告警并自動隔離、僅告警	告警并自動隔離
誘餌防護	開啟誘餌防護后，系統會在防護目錄和關鍵目錄（不包括排除目錄）中部署誘餌文件。誘餌文件會占用小部分服務器資源，不會影響您的服務器正常運行。 在開啟服務器的勒索病毒防護時，誘餌防護狀態為默認開啟。 說明 當前僅Linux系統支持動態生成和部署誘餌文件，Windows系統僅支持靜態部署誘餌文件。	開啟
誘餌防護目錄	被防護的目錄（不包括子目錄）。 多個目錄請用英文分號隔開，最多支持填寫20個防護目錄。 操作系統為Linux時必填項。	Linux：/etc/lesuo Windows：C:\Test
排除目錄（選填）	不進行部署誘餌文件的目錄。 多個目錄請用英文分號隔開，最多支持填寫20個排除目錄。	Linux：/test Windows：C:\ProData
防護文件類型	被防護的服務器文件類型或格式，自定義勾選即可。 涵蓋數據庫、容器、代碼、證書密匙、備份等9大文件類型，共70+種文件格式。 僅Linux支持，且為必選項。	全選
進程白名單	添加自動忽略檢測的進程文件路徑，可在告警中獲取。 僅Windows支持。	-

6 、確認信息無誤，單擊“確認”，完成防護策略修改。

刪除防護策略

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、選擇“主動防御 > 勒索病毒防護 > 防護策略”。

5、單擊目標策略“操作”列的“刪除”。

                    
說明
                    
刪除策略后，關聯的服務器將不再被防護，風險系數將會升高，建議刪除策略前將目標策略關聯的服務器綁定其他策略開啟防護。
                    
                  
                  

6 、在彈窗確認正在刪除的策略信息，確認無誤，單擊“確認”，完成刪除。

關閉勒索防護

前提條件

已購買主機安全版本為旗艦版或網頁防篡改版。

防護服務器列表至少有一臺服務器處理防護中狀態。

約束限制

• 開啟勒索病毒防護時，需要同時配置服務器備份并及時處置勒索病毒告警、修復系統及中間件漏洞。如果不開啟服務器備份，遭受攻擊后較大概率無法恢復業務。
• 未開啟旗艦版、網頁防篡改版、容器版防護不支持勒索相關操作。
• 按需計費模式下，不支持勒索病毒防護。

關閉服務器防護

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、選擇“主動防御 > 勒索病毒防護 > 防護策略”。

5、單擊目標服務器“操作”列的“關閉防護”，在彈窗中選擇需要關閉的防護功能。

• 關閉所有防護：關閉后目標服務器的勒索防護和備份功能都將關閉。
• 僅關閉勒索防護：僅關閉目標服務器的勒索病毒防護。
• 僅關閉備份功能：僅關閉目標服務器的數據備份功能。

6 、確認關閉信息無誤，單擊“確認”，完成關閉。