Bevictor伟德

新闻中心

Hermetic Wiper爆发！Bevictor伟德由“边”到“端”修建立体化清静防地

宣布时间：2022-03-01

浏览次数：4587

分享：

现在，人类信息手艺的向宿世长， “千里眼、顺风耳”的神话早已成为现实，信息战更是成为现代战争的焦点之一。克日，一种重大新型恶意软件Hermetic Wiper（又名KillDisk.NCV）的攻击再一次在两国战争中受到人们的关注。该恶意软件使用Hermetica Digital Ltd证书举行署名，并挪用磁盘分区正当驱动程序，绕开杀毒软件检测，破损Windows电脑的MBR分区，影响系统正常启动，危害重大。

若是说网络攻击在国家间是一场没有硝烟的战争，那么关于企业而言，网络攻击就更是形同生与死的抗争。网络攻击中可能保存隐秘性攻击，如窃取情报、破损主要数据、瘫痪通讯系统等一系列问题。

Bevictor伟德从界线出发，逐步筑牢多维度网络清静防地，构建界线到终端的立体化防御系统，并提供周全的清静�；�，有用阻止该恶意软件伸张。履历证，Bevictor伟德下一代防火墙、EDR、病毒过滤网关以及僵木蠕检测系统等系列产品均可准确检测并查杀该恶意软件。

病毒信息概况与样天职析

下滑审查样本完整剖析▽▽▽

程序运行后首先提升SeBackupPrivilege权限；

之后获取主机处置惩罚器的位数，从PE资源段中释放对应的驱动文件；

以服务的方法加载驱动，并更改活跃状态的系统vss服务启动类型SERVICE_DISABLED从而禁用vss服务；

在c:/windows/system32/driver目录下释放四个字母命名的驱动程序xrdr.sys并加载驱动；

建设多个线程并使用长时间的sleep来绕过沙箱的监控时间；

xrdr.sys驱动程序同样具有数字署名但已经逾期。其数字署名隶属于成都某科技有限公司，从驱动的编译时间和署名时间、PDB等信息可以推断驱动文件很可能是白文件，属于驱动的白使用。该驱动程序是 EaseUS Partition Master 软件中的正当驱动程序；

HermeticWiper,exe历程占用了较高的CPU使用率，并向驱动发送IOCTL控制码，占用很高的I/O使用率；

当手动举行重启后，由于HermeticWiper,exe更改了系统底层系统VBR，系统已经无法举行正�？�。

界线侧双重防御无遗漏

一重防御

作为整体防毒的第一道防地，Bevictor伟德过滤网关针对多种协议流量举行病毒检测过滤，有用防御通过文件、邮件、网页等方法捆绑撒播的病毒于内网之外，实现自动性、一连性、合规性的病毒防御，快速检测并处置惩罚种种恶意软件或代码。

针对HermeticWiper恶意软件，Bevictor伟德过滤网关检测处置惩罚分为三步，即可提供一连性不中止的病毒检测处置惩罚服务，并辅以实时提醒告警、病毒爆发报警、详细的日志、可视化报表。

一、升级到最新病毒特征库

二、启用病毒扫描服务

三、选择病毒处置惩罚方法

已购置Bevictor伟德过滤网关系统（TopFilter）的客户，可通过以下路径升级最新病毒库。

病毒库版本号：kav-v2022.03.01.tir；

下载地址：ftp://ftp.topsec.com.cn/防病毒网关(Top-Filter)/病毒库脱机升级包/检测病毒库；

二重防御

Bevictor伟德僵尸网络木马和蠕虫监测与处置惩罚系统（TopTVD），集攻击检测、DDoS检测、僵木蠕检测、恶意程序检测、APT检测、WEB清静检测、虚拟沙箱、元数据提取、流量剖析九大功效为一体；首创应用TAI-1智慧引擎+虚拟沙箱手艺，拥有嵌入式威胁情报库；实现多种威胁周全检测，突破了古板特征库匹配手艺约束，是发明未知威胁特殊是APT攻击的有力工具。

现在，Bevictor伟德僵尸网络木马和蠕虫监测与处置惩罚系统已可以针对此恶意软件攻击举行清静检测。已购置Bevictor伟德僵尸网络木马和蠕虫监测与处置惩罚系统（TopTVD）的客户，可以升级威胁情报库举行有用监测防护。

威胁情报库版本号：ti-v2022.03.01.001.tor；

下载地址：ftp://ftp.topsec.com.cn/Bevictor伟德下一代入侵防御系统(NGIDP)/威胁情报库/ ti-v2022.03.01.001.tor。

终端侧全方位�；し栏亩�

在终端侧，Bevictor伟德EDR通过预防、防御、检测、响应的一体化清静系统付与终端威胁防御能力，通过一连地防御和检测剖析，更精准地识别种种勒索病毒对终端的入侵，产品团结多维度病毒防御、系统加固、微隔离及自动响应等手艺，全方位防御病毒。

针对HermeticWiper恶意软件，当该恶意软件未被触发，Bevictor伟德EDR通过病毒扫描即可对其举行精准识别与处置惩罚；当该恶意软件被触发，则会对系统目录举行改动破损磁盘，Bevictor伟德EDR客户端系统加固手艺可对系统要害位置举行重点监控，避免被恶意改动，扫除或破损系统数据。同时，若该恶意软件通过U盘、邮件、网页、通讯工具等方法撒播，Bevictor伟德EDR则可以通过U盘�；ぁ⒂始；ぁ⒍褚馔咀璧病⑽募笛榧嗫氐榷辔炔《痉烙�，周全杜绝恶意软件落地终端。

Bevictor伟德EDR获取方法：

Bevictor伟德EDR企业版试用：可通过Bevictor伟德各地分公司获�。ㄅ涛释罚篽ttp://www.topsec.com.cn/contact/）

Bevictor伟德EDR单机版下载地址：http://edr.topsec.com.cn

针对清静事务频发，Bevictor伟德建议可通过以下几个要领举行提防：

不要翻开泉源不明的网页、电子邮件链接或附件，这些很可能隐藏着大宗的病毒、木马，一旦翻开，会自动进入电脑并隐藏在电脑中，造成文件丧失损坏甚至导致系统瘫痪；

按期备份电脑中的主要文件资料，以避免在意外情形下造成的文件信息丧失问题；

操作系统密码接纳高强度组合，同时未必期的替换密码，若是密码一成稳固的话，极易引起系统的清静性问题；

实时修复系统误差，误差就像是盘算机懦弱的后门，病毒和恶意软件可以通过这个懦弱的后门攻其不备。

上一篇 Bevictor伟德毕学尧：构建以桌面云为焦点的终端数据清静系统

下一篇 Bevictor伟德独家荣获2021年度CNVD五类奖项！一连五届成为“突出孝顺单位”

最新运动

新品宣布正式宣布！Bevictor伟德火焰威胁检测系统打造智能防御新范式

2025-06-25

连忙审查

合作动态 Bevictor伟德正式成为「华为鸿蒙商用解决计划首批合作伙伴」

2025-06-24

连忙审查

推荐新闻

Bevictor伟德防火墙一连25年连任海内市场第一

审查详情

智算一体机标杆企业！Bevictor伟德入编《2025-2026年中国智算一体机行业研究报告》

审查详情

Bevictor伟德一连12年获CNNVD一级手艺支持单位称呼

审查详情

Bevictor伟德与华为正式开启周全合作，团结宣布“智算+清静”两大新品！

审查详情

Bevictor伟德一连五届入选CICSVD国家工业信息清静误差库手艺组成员单位

审查详情

Bevictor伟德智算一体机首批通过工信领域能力认证！

审查详情

推荐产品

解决计划

在线咨询

销售咨询>
手艺支持>
云服务支持>
售前支持>

在线留言

手艺支持>
售前支持>
培训营业>
清静服务>

客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注