萬物皆可卷，勒索病毒也秉承著“寧可累死自己，也要餓死同行”的心態，在比拼加密速度這條路上加速進化。

竊取數據作為勒索病毒終極目標，病毒加密速度越快，上傳速度越快，意味著過程中被用戶發現和阻止的機會就越少。老牌病毒Lockbit更新至2.0版本后，就宣稱是世界上加密最快的勒索軟件，能夠在20分鐘之內就可竊取100GB數據，是普通勒索病毒加密速度的3倍以上，且具備在域控內自動傳播的能力。

而對應著加密環節的事中防護階段，無論是基于勒索誘餌、還是基于動態行為識別勒索加密動作，均是在勒索病毒進程啟動后進行的檢測，在這期間勒索病毒極有可能已經加密了少量客戶文件。

因此，勒索防護一方面需要在事中實現勒索執行的秒級阻斷，自動化防護，讓其像殺毒一樣簡單；另一方面，對于防護期間，勒索病毒可能已經加密的客戶文件，需要對應的恢復手段。

 

02勒索病毒至暗時刻！勒索防護全新思路

應對勒索病毒不斷演進帶來的以上新挑戰，深信服aES重磅出擊，發布勒索高度自動化防護功能，內置靜態+動態勒索行為AI引擎和3s動態備份機制，有效解決各種防御繞過型攻擊，讓勒索防護和病毒查殺一樣省心可靠。

 

勒索靜態AI檢測，精準識別變種

勒索病毒由于攻擊門檻逐漸降低、攻擊入口增加導致勒索病毒變種發展迅猛，這非?？简?a href="http://www.szyuanan.com/product-and-solution/sangfor-security/edr">終端防護產品對未知勒索威脅的檢測能力。

深信服aES通過SAVE 3.0強泛化文件檢測引擎升級，增強AI泛化能力，對可疑文件進行多重AI檢測，提升對未知威脅的檢測能力，同時對判黑的威脅文件通過可拔插式AI判別是否為勒索病毒。

通過對抗性AI訓練，深信服aES對勒索的精準率已提升到99.47%（數據來自于千里目安全技術中心內部測評）。用戶可直觀地掌握內網終端是否中了勒索病毒，影響范圍有多大，快速采取響應措施。

 

勒索AI動態行為檢測，防繞過

白利用逐漸成為近兩年勒索入侵的新型方式，黑客使用注入工具對白進程（系統、業務相關進程）注入勒索病毒，隨著這類白進程運行，勒索病毒也在后臺運行起來，快速加密。傳統殺軟對此無計可施。

深信服上線“勒索行為AI引擎”，實現自動阻斷，遏制勒索蔓延。無論是加白的白進程、抑或是系統業務相關的默認可信進程，AI行為引擎都會監測其運行起來后的實際行為，研判是否為可疑的勒索行為。通過采集其一系列可疑操作行為（如注冊表修改、執行命令、釋放文件、創建進程等），針對不同勒索家族類型的攻擊步驟進行關聯分析，構建定制化攻擊事件鏈條。若在端側匹配到相應攻擊模式，則能夠實現勒索加密發生前對勒索病毒的阻斷。即使是“白進程”，也能依靠AI行為引擎通過行為監測，第一時間阻斷勒索加密行為。

攻擊模式抽取

 

為了保障行為引擎研判精準度，我們將AI行為引擎放入勒索病毒專項訓練集里。通過對主流勒索病毒加密行為的學習、檢測、打分，以及用戶操作系統進程調用的API序列、進程動作序列、文件操作行為序列，結合專家知識完成可疑行為模式篩選，最終實現勒索行為的高精度識別。

 

防勒索動態備份機制，做兜底

如上圖所示，aES數據智能備份機制并非是全盤備份，而是配合勒索行為AI引擎經過巧妙設計按需觸發。這樣既可以保障備份檢測阻斷的窗口期被加密的少量文件，還能確保最小的系統資源消耗。

aES在終端Agent和管理平臺MGR都提供了備份恢復、查詢備份區功能，讓用戶能夠自主選擇文件進行恢復。當然用戶也可以自定義的選擇配置策略控制備份文件大小、類型、備份空間等。

 

aES國內率先應用勒索AI行為防護模型，截止到8月份線上累計發現客戶側真實防住勒索事件破百起，其中勒索行為AI模型成功防護住90%白利用類型勒索案例。國內率先實現事中防護阻斷一系列Tellyouthepass勒索攻擊（其中多起0 day和n day漏洞利用進行邊界突破），實現基于AI的終端高精準檢測、高自動化防御，真正捍衛用戶終端安全。

致力于讓所有用戶安全領先一步，aES創新不止，進步不停。目前，深信服aES已經贏得各級政府單位、醫院、教育行業用戶、能源行業用戶和大型企業等眾多用戶的認可，部署端點超過1500W+。大量用戶的認可也驗證了aES所帶來的價值！