勒索病毒遍历系统文件会调用操作系统特定的接口或函数，通过调用FindFirstFile/FindNextFile遍历文件，在勒索病毒遍历文件时，优先返回给它诱饵文件，使其最先处理诱饵文件，以最小成本、最快速度识别出勒索病毒。

勒索病毒采用多种方式破坏系统资源，包括MBR加密、操作系统锁定、系统卷影备份删除等恶意行为。威努特主机防勒索系统通过预置保护规则，避免勒索病毒对MBR引导区、操作系统账号、系统卷影备份等资源破坏。

勒索病毒为了躲避检测，会使用进程注入的方式发起勒索攻击，如Ryuk勒索病毒会注入explorer等系统进程中实施勒索加密。防勒索系统通过数字签名验证、AppInit_DLLs禁用、CreateRemoteThread禁用、DLL加载限制等措施，保护进程不被恶意注入。

勒索病毒加密文件前，会优先终止业务进程，以解除文件占用，便于文件加密、文件删除等操作。 进程终止方式包括线程主动退出、进程主动退出、线程强制终止、进程强制终止、入口函数返回等。 进程主动退出会对已更改数据进行保存，勒索病毒为缩短加密前准备时间，会直接采用线程强制终止、进程强制终止指令。

防勒索系统基于指令类型以及指令来源（跨进程/跨地址空间访问）进行识别，阻断勒索病毒非法的进程终止行为，确保关键业务连续性的同时，保持应用程序对应用数据的占用，勒索病毒无法对占用数据进行加密篡改，进而无法勒索成功。

勒索病毒执行的文件遍历、文件拷贝、文件加密写入、文件删除等恶意行为，本质上是调用操作系统文件过滤驱动指令。 日常办公过程中，文件“增删改” 的操作较为普遍，仅从文件操作行为无法判断是否为恶意。 建立可信应用与数据之间的读写关系，可甄别恶意数据操作行为，事先建立读写规则，即可实现勒索病毒恶意写入的防范。

未限制应用程序与应用数据的访问权限时，勒索病毒不受限制的访问应用数据，对应用数据非法写入，致使正常的应用程序无法识别数据文件内容。 通过建立系统中可信应用与数据的访问关系模型，阻断勒索病毒对应用数据的读写删改，保护系统中文档、数据库、工程文件、音频、图像、视频、配置文件免遭勒索软件恶意加密。

误操作、安全策略配置不当可能导致检测、防护能力被绕过，我们还需要备份恢复能力做技术兜底。 基于信息熵、方差值完成文件加密情况判断，如加密文件则直接丢弃，并将相关进程阻断、隔离，如属于正常文件，则进行防重复检查。 基于文件名、哈希值对文件在备份区存在情况进行检查，重复文件直接丢弃；备份区内数据可随时还原用以支撑业务快速恢复。

勒索攻击具有APT属性，单一技术手段存在被绕过的风险，以多种技术手段层层递进的方式对勒索病毒进行防范最为有效。 威努特防勒索系统六大技术机制相互叠加形成了多层次的纵深防范能力，覆盖了行为检测（全局、精准）、系统保护、进程保护、数据保护、数据恢复等多种安全机制，可极大降低被勒索的风险。 防勒索系统行为监测、备份恢复采用“零信任”机制，能够抵御“供应链攻击”，能够抵御以任何形式发起的勒索攻击行为。

安全技术和产品能提供威胁的防护手段，却无法百分之百规避安全事件发生，残余风险依然会威胁用户的财产安全。 威努特防勒索系统+防勒索保险的方案能实现残余风险的管控兜底，补上风险管理的最后一环。

面向购买和使用威努特主机防勒索系统的客户，针对威努特主机防勒索系统产品部署在被保险企业后，如果发生保险条款列明的网络安全事件导致被保险企业的经济损失、费用支出和经济赔偿责任的，由保险公司承担相应的赔付责任。