使用 Azure Security Center 檢測最新的勒索軟件威脅（又名 Bad Rabbit）

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center

 

Windows Defender 團隊最近用新的勒索軟件威脅 Ransom：Win32 / Tibbar（也被稱為 Bad Rabbit）更新了惡意軟件百科全書。 此更新包含有關緩解新威脅的全面指導。 微軟反惡意軟件解決方案（包括 Windows Defender Antivirus 和 Azure 服務和虛擬機的 Microsoft 反惡意軟件）進行了更新，以檢測並防範此威脅。

本文總結了您可以採取的其他措施，以通過 Azure 安全中心防止和檢測在 Azure 中運行的工作負載遭遇這種威脅。 獲取有關啟用 Azure 安全中心的更多信息。

 

預防

Azure 安全中心會掃描您的虛擬機和服務器以評估端點保護狀態。 計算後確定那些沒有受到充分保護的議題，將同時被給予相關的建議。

 

 

深入“Compute”窗格或概覽建議窗格中會顯示更多詳細信息，包括 Endpoint Protection 安裝建議，如下所示：

 

 

點擊此按鈕會導出一個對話框，允許您選擇和安裝端點保護解決方案，包括 Microsoft 自己的Azure 服務和虛擬機的反惡意軟件解決方案，這些將有助於防範此類勒索軟件威脅。

 

 

Azure安全中心免費級客戶可以使用這些建議和相關的緩解措施。

 

偵測

選擇加入 Standard-Tier 的 Azure 安全中心客戶也可以從與 Ransom：Win32 / Tibbar.A（Bad Rabbit）勒索軟件相關的通用和特定檢測中受益。 這些警報通過下面突出顯示的檢測窗格進行訪問，並且需要 Azure 安全中心標準層。

 

 

例如，與勒索軟件相關的通用警報包括：

• 事件日誌清除哪些勒索軟件（如  Bad Rabbit）的執行
• 刪除卷影副本以防止客戶恢復數據。 其中一個例子如下所示：

 

 

此外，Azure 安全中心還通過與 Bad Rabbit 相關的特定 IOC 更新了勒索軟件檢測。

 

 

您應該遵循警報中詳述的補救步驟，即：

1. 運行完整的反惡意軟件，掃描並確認威脅已被移除。
2. 安裝並運行 Microsoft 安全掃描程序。
3. 在網絡中的其他主機上預先執行這些操作。

儘管警報與特定主機相關，但複雜的勒索軟件會嘗試傳播到其他附近的機器。 您使用這些補救步驟來保護網絡中的所有主機，而不僅僅是警報中標識的主機，這一點很重要。