现在，，，，，，，，人类信息手艺的向宿世长，，，，，，，， “千里眼、顺风耳”的神话早已成为现实，，，，，，，，信息战更是成为现代战争的焦点之一。。。。。。。克日，，，，，，，，一种重大新型恶意软件Hermetic Wiper（又名KillDisk.NCV）的攻击再一次在两国战争中受到人们的关注。。。。。。。该恶意软件使用Hermetica Digital Ltd证书举行署名，，，，，，，，并挪用磁盘分区正当驱动程序，，，，，，，，绕开杀毒软件检测，，，，，，，，破损Windows电脑的MBR分区，，，，，，，，影响系统正常启动，，，，，，，，危害重大。。。。。。。

若是说网络攻击在国家间是一场没有硝烟的战争，，，，，，，，那么关于企业而言，，，，，，，，网络攻击就更是形同生与死的抗争。。。。。。。网络攻击中可能保存隐秘性攻击，，，，，，，，如窃取情报、破损主要数据、瘫痪通讯系统等一系列问题。。。。。。。

3377体育网官网入口从界线出发，，，，，，，，逐步筑牢多维度网络清静防地，，，，，，，，构建界线到终端的立体化防御系统，，，，，，，，并提供周全的清静保；；；；；，，，，，，，，有用阻止该恶意软件伸张。。。。。。。履历证，，，，，，，，3377体育网官网入口下一代防火墙、EDR、病毒过滤网关以及僵木蠕检测系统等系列产品均可准确检测并查杀该恶意软件。。。。。。。

病毒信息概况与样天职析

下滑审查样本完整剖析▽▽▽

程序运行后首先提升SeBackupPrivilege权限；；；；；；

之后获取主机处置惩罚器的位数，，，，，，，，从PE资源段中释放对应的驱动文件；；；；；；

以服务的方法加载驱动，，，，，，，，并更改活跃状态的系统vss服务启动类型SERVICE_DISABLED从而禁用vss服务；；；；；；

在c:/windows/system32/driver目录下释放四个字母命名的驱动程序xrdr.sys并加载驱动；；；；；；

建设多个线程并使用长时间的sleep来绕过沙箱的监控时间；；；；；；

xrdr.sys驱动程序同样具有数字署名但已经逾期。。。。。。。其数字署名隶属于成都某科技有限公司，，，，，，，，从驱动的编译时间和署名时间、PDB等信息可以推断驱动文件很可能是白文件，，，，，，，，属于驱动的白使用。。。。。。。该驱动程序是 EaseUS Partition Master 软件中的正当驱动程序；；；；；；

HermeticWiper,exe历程占用了较高的CPU使用率，，，，，，，，并向驱动发送IOCTL控制码，，，，，，，，占用很高的I/O使用率；；；；；；

当手动举行重启后，，，，，，，，由于HermeticWiper,exe更改了系统底层系统VBR，，，，，，，，系统已经无法举行正常浚浚？？？？。。。。。。。

界线侧 双重防御无遗漏

一重防御

作为整体防毒的第一道防地，，，，，，，，3377体育网官网入口过滤网关针对多种协议流量举行病毒检测过滤，，，，，，，，有用防御通过文件、邮件、网页等方法捆绑撒播的病毒于内网之外，，，，，，，，实现自动性、一连性、合规性的病毒防御，，，，，，，，快速检测并处置惩罚种种恶意软件或代码。。。。。。。

针对HermeticWiper恶意软件，，，，，，，，3377体育网官网入口过滤网关检测处置惩罚分为三步，，，，，，，，即可提供一连性不中止的病毒检测处置惩罚服务，，，，，，，，并辅以实时提醒告警、病毒爆发报警、详细的日志、可视化报表。。。。。。。

一、升级到最新病毒特征库

二、启用病毒扫描服务

三、选择病毒处置惩罚方法

已购置3377体育网官网入口过滤网关系统（TopFilter）的客户，，，，，，，，可通过以下路径升级最新病毒库。。。。。。。

病毒库版本号：kav-v2022.03.01.tir；；；；；；

下载地点：ftp://ftp.topsec.com.cn/防病毒网关(Top-Filter)/病毒库脱机升级包/检测病毒库；；；；；；

二重防御

3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统（TopTVD），，，，，，，，集攻击检测、DDoS检测、僵木蠕检测、恶意程序检测、APT检测、WEB清静检测、虚拟沙箱、元数据提取、流量剖析九大功效为一体；；；；；；首创应用TAI-1智慧引擎+虚拟沙箱手艺，，，，，，，，拥有嵌入式威胁情报库；；；；；；实现多种威胁周全检测，，，，，，，，突破了古板特征库匹配手艺约束，，，，，，，，是发明未知威胁特殊是APT攻击的有力工具。。。。。。。

现在，，，，，，，，3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统已可以针对此恶意软件攻击举行清静检测。。。。。。。已购置3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统（TopTVD）的客户，，，，，，，，可以升级威胁情报库举行有用监测防护。。。。。。。

威胁情报库版本号：ti-v2022.03.01.001.tor；；；；；；

下载地点：ftp://ftp.topsec.com.cn/3377体育网官网入口下一代入侵防御系统(NGIDP)/威胁情报库/ ti-v2022.03.01.001.tor。。。。。。。

终端侧 全方位保；；；；；し栏亩

在终端侧，，，，，，，，3377体育网官网入口EDR通过预防、防御、检测、响应的一体化清静系统付与终端威胁防御能力，，，，，，，，通过一连地防御和检测剖析，，，，，，，，更精准地识别种种勒索病毒对终端的入侵，，，，，，，，产品团结多维度病毒防御、系统加固、微隔离及自动响应等手艺，，，，，，，，全方位防御病毒。。。。。。。

针对HermeticWiper恶意软件，，，，，，，，当该恶意软件未被触发，，，，，，，，3377体育网官网入口EDR通过病毒扫描即可对其举行精准识别与处置惩罚；；；；；；当该恶意软件被触发，，，，，，，，则会对系统目录举行改动破损磁盘，，，，，，，，3377体育网官网入口EDR客户端系统加固手艺可对系统要害位置举行重点监控，，，，，，，，避免被恶意改动，，，，，，，，扫除或破损系统数据。。。。。。。同时，，，，，，，，若该恶意软件通过U盘、邮件、网页、通讯工具等方法撒播，，，，，，，，3377体育网官网入口EDR则可以通过U盘保；；；；；ぁ⒂始保；；；；；ぁ⒍褚馔咀璧病⑽募实验监控等多维度病毒防御，，，，，，，，周全杜绝恶意软件落地终端。。。。。。。

3377体育网官网入口EDR获取方法：

3377体育网官网入口EDR企业版试用：可通过3377体育网官网入口各地分公司获。。。。。。。ㄅ涛释罚篽ttp://www.topsec.com.cn/contact/）

3377体育网官网入口EDR单机版下载地点：http://edr.topsec.com.cn

针对清静事务频发，，，，，，，，3377体育网官网入口建议可通过以下几个要领举行提防：

不要翻开泉源不明的网页、电子邮件链接或附件，，，，，，，，这些很可能隐藏着大宗的病毒、木马，，，，，，，，一旦翻开，，，，，，，，会自动进入电脑并隐藏在电脑中，，，，，，，，造成文件丧失损坏甚至导致系统瘫痪；；；；；；

按期备份电脑中的主要文件资料，，，，，，，，以避免在意外情形下造成的文件信息丧失问题；；；；；；

操作系统密码接纳高强度组合，，，，，，，，同时未必期的替换密码，，，，，，，，若是密码一成稳固的话，，，，，，，，极易引起系统的清静性问题；；；；；；

实时修复系统误差，，，，，，，，误差就像是盘算机懦弱的后门，，，，，，，，病毒和恶意软件可以通过这个懦弱的后门攻其不备。。。。。。。