2018勒索病毒白皮書(政企篇)

伺服器加密解密安全漏洞 · 發表 2019-02-25 14:51:26

摘要：摘要 2018年，勒索病毒攻擊整體態勢以伺服器定向攻擊為主，輔以撒網式無差別攻擊手段。 2018年共有430餘萬臺（只包括國內且不含WannaCry資料）計算機遭受勒索病毒攻擊；GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者最多...

摘要

2018年，勒索病毒攻擊整體態勢以伺服器定向攻擊為主，輔以撒網式無差別攻擊手段。
2018年共有430餘萬臺（只包括國內且不含WannaCry資料）計算機遭受勒索病毒攻擊；GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者最多，合計佔比高達80.2%；勒索病毒最常使用的攻擊手段是遠端桌面弱口令暴力破解攻擊。
勒索病毒對政企單位的攻擊以單點試探為主，79.8%僅嘗試攻擊一臺終端；政府行業的單位最容易遭到勒索病毒攻擊，佔被攻擊單位總數的21.0%；金融行業的終端最容易遭到勒索病毒攻擊，佔被攻擊終端總數的31.8%。
5月是政企單位感染勒索病毒的最高峰，其數值是最低谷（2月）的5.3倍；政府單位是感染勒索病毒的重災區，被感染數量佔被感染單位總數的24.1%；GlobeImposter最難防範，34.0%的受害政企單位感染了該勒索病毒；各大勒索病毒都愛感染政府行業。
政企單位可以通過業務系統無法訪問、電腦桌面被篡改、檔案字尾被篡改等方式判斷是否感染了勒索病毒。如果已經感染了勒索病毒，建議通過隔離中招主機、排查業務系統、聯絡專業人員進行自救等多種方式，在等待專業人員救助之前有效止損。
政企單位防範勒索病毒建議從七個方面著手，即及時更新最新的補丁庫、杜絕弱口令、重要資料定期隔離備份、提高網路安全基線、保持軟體使用的可信、選擇正確的反病毒軟體、建立高階威脅深度分析與對抗能力。

第一章，勒索病毒整體攻擊態勢

2018年，勒索病毒攻擊特點也發生了變化：2017年，勒索病毒由過去撒網式無差別攻擊逐步轉向以伺服器定向攻擊為主，而2018年，勒索病毒攻擊則以伺服器定向攻擊為主，輔以撒網式無差別攻擊手段。

一、整體態勢

摘要：2018年共有430餘萬臺計算機遭受勒索病毒攻擊，12月攻擊最盛。

根據360網際網路安全中心的資料（包括360安全衛士和360防毒的查殺資料），2018年共計430餘萬臺計算機遭受勒索病毒攻擊（只包括國內且不含WannaCry資料）。值得關注的是，在2018年11月和12月，由於GandCrab勒索病毒增加了蠕蟲式（蠕蟲下載器）攻擊手段以及Satan勒索病毒加強了伺服器攻擊頻次，導致攻擊量有較大上升。

需要指出的是，以上趨勢僅基於監控資料，實際許多使用者是黑客通過伺服器攻擊滲透入侵內網後投放的勒索病毒，亦或使用者終端不聯網通過內網其他機器感染的勒索病毒，這些情形下是無法監控到資料的。

二、活躍家族

摘要：2018年GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者最多，合計佔比高達80.2%。

根據360反勒索服務統計的資料，2018年GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者最多，合計佔比約80.2%。本年度的活躍家族除了少數病毒，都有針對政企使用者進行的攻擊，因此企業使用者仍然是勒索病毒最熱衷的攻擊物件。360終端安全實驗室統計的使用者反饋資料，大體和這個資料類似，後文將有詳細分析。

以下是360反勒索服務統計資料得到的分析圖：

三、傳播特點

摘要：2018年度勒索病毒最常使用的攻擊手段是遠端桌面弱口令暴力破解攻擊。

勒索病毒採用的傳播手段和其他病毒類似，不過2018年度最為常用的攻擊手段卻是遠端桌面弱口令暴力破解攻擊，大量政企、個人使用者反饋的勒索病毒都是基於此攻擊方式。

下面根據病毒傳播影響範圍、危害大小列出最常用的幾種攻擊方式。

1.弱口令攻擊

有多種系統或軟體的弱口令遭受攻擊，這裡勒索病毒最常用的是遠端桌面登入弱口令。除此外，勒索病毒弱口令攻擊還包括針對資料庫系統、Tomcat管理賬戶、VNC等弱口令的攻擊。

2.U盤蠕蟲

U盤蠕蟲過去主要用於傳播遠控和挖礦病毒，但在2018年11月突然出現傳播GandCrab勒索病毒的現象。360終端安全實驗室曾對該類蠕蟲做了詳細分析，具體可參見：

https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247485868&idx=1&sn=96ccb8bd5f34d2187173abc49bdad18e

這種傳播方式的出現，導致2018年11月GandCrab勒索病毒突然成規模的爆發，令許多使用者遭受攻擊。

3.系統、軟體漏洞

由於許多使用者安全意識不足，導致許多NDay漏洞被黑客利用進行攻擊。2018年，有多個勒索軟體家族通過Windows系統漏洞或Web應用漏洞入侵Windows伺服器。其中最具代表性的當屬Satan勒索病毒，Satan勒索病毒最早於2018年3月在國內傳播，其利用多個Web應用漏洞入侵伺服器，如下表所示。

簡述\漏洞編號

JBoss反序列化漏洞CVE-2017-12149

JBoss預設配置漏洞CVE-2010-0738

JBoss預設配置漏洞CVE-2015-7501

WebLogic反序列化漏洞CVE-2017-10271

Put任意上傳檔案漏洞

“永恆之藍”相關漏洞 CVE-2017-0146

Struts遠端程式碼執行漏洞S2-052（僅掃描）CVE-2017-9805

WebLogic任意檔案上傳漏洞CVE-2018-2894

Spring Data Commons遠端程式碼執行漏洞CVE-2018-1273

4.其他攻擊方式

相比前面幾種攻擊方式，其他攻擊方式的影響要小不少，這些方式主要包括：

（1）軟體供應鏈攻擊：以unnamed1989勒索病毒（“微信支付勒索病毒”）為代表，該勒索病毒主要是因為開發者下載了帶有惡意程式碼的易語言第三方模組，導致呼叫該模組所開發出來的軟體均被感染了惡意程式碼。根據統計，在此次事件中被感染的軟體超過50餘種。此外RushQL Oracle資料庫勒索病毒也屬於軟體供應鏈攻擊。

（2）無檔案攻擊方式：比如GandCrab勒索病毒就採用了“無檔案攻擊”進行傳播，其技術原理主要通過Powershell將GandCrab編碼加密後以記憶體載荷方式載入執行，實現全程無惡意程式碼落地，從而躲避安全軟體的檢測。

（3）郵件附件傳播：這種方式通過郵件附件傳播病毒下載器，誘使使用者點選執行下載器下載勒索病毒後中毒。此方式在2016-2017年是勒索病毒最常見的傳播方式，但在2018年已經很少被採用。

下圖是360反勒索平臺接收到的反饋案例統計，可以看到通過遠端桌面弱口令攻擊方式傳播的案例佔比最高，高達62.9%，其次是共享檔案被加密，佔比為11.1%，而通過U盤蠕蟲進行傳播的案例佔比則為10.4%。

（以上資料直接引用360網際網路安全中心的資料）

第二章，政企遭遇勒索攻擊分析

由於感染政企客戶更有可能獲得贖金，再加上勒索病毒本身也以伺服器定向攻擊為主，所以，2018年政企客戶被勒索病毒攻擊的勢頭尤其凶猛，各行各業都遭到了無差別攻擊。

一、攻擊力度

本節資料來自360企業安全公有云安全監測資料（只包括國內且不含WannaCry資料），以每日被攻擊終端為基本研究單位，本地已經可以查殺的勒索病毒不在統計之列。

摘要：勒索病毒對政企單位的攻擊以單點試探為主，79.8%僅嘗試攻擊一臺終端。

在政企單位所遭遇的勒索病毒攻擊事件中，單日單次攻擊事件僅針對一臺終端的比例佔到攻擊事件總量的79.8%，僅有0.6%的攻擊事件針對的終端總數超過50臺。

摘要：政府行業的單位最容易遭到勒索病毒攻擊，佔被攻擊單位總數的21.0%。

在遭遇勒索病毒攻擊的政企單位中，政府單位的數量最多，佔到被攻擊單位總數的21.0%；其次是衛生、能源單位，佔比分別為12.1%、8.8%。

摘要：金融行業的終端最容易遭到勒索病毒攻擊，佔被攻擊終端總數的31.8%。

在遭遇勒索病毒攻擊的政企終端中，金融行業終端最多，佔到總攻擊終端數量的31.8%；其次是政府、能源終端，佔比分別為10.4%、9.0%。

二、感染分析

本節資料來自360終端安全實驗室接到的政企單位感染勒索病毒後的應急響應請求。總體政企使用者感染範圍達到歷史新高，可以說是前所未有的影響。

摘要：5月是政企單位感染勒索病毒的最高峰，其數值是最低谷時的5.3倍。

2018年，政企單位感染勒索病毒的最高峰出現在5月，最低谷出現在2月，最高峰月份感染勒索病毒的單位數量是最低谷時的5.3倍。

摘要：政府單位是感染勒索病毒的重災區，數量是被感染政企單位總數的24.1%。

在被勒索病毒感染的政企單位中，政府單位的佔比最高，佔到被感染政企單位總數的24.1%；其次是衛生、公檢法單位，佔比分別是14.9%、7.2%。

摘要：GlobeImposter最難防範，34.0%受害政企單位感染了該勒索病毒。

在感染勒索病毒的政企單位中，34.0%感染了GlobeImposter，22.0%感染了GandCrab，17.6%感染了Crysis，10.1%感染了Satan，仍然有7.5%單位感染WannaCry。

摘要：四大勒索病毒都愛感染政府行業，WannaCry的感染則相對平均。

GlobeImposter感染最多的是政府單位，佔感染政企單位總數的29.6%；其次是衛生行業，佔比為16.7%；GandCrab感染最多的是政府單位，佔感染政企單位總數的28.6%；其次是公檢法行業，佔比為11.4%；Crysis感染最多的是政府單位，佔感染政企單位總數的25.0%；其次是衛生行業，佔比為21.4%；Satan感染最多的是政府單位，佔感染政企單位總數的25.0%；其次是衛生行業，佔比為18.8%；而WannaCry的感染則相對平均。

第三章，勒索病毒發展趨勢預測

2018年勒索病毒攻擊產生的影響和危害達到新的高度，特別是針對伺服器的攻擊，給廣大政企使用者帶來了前所未有的影響。360終端安全實驗室預計，2019年勒索病毒威脅仍將在病毒威脅排行榜上執牛耳領跑眾毒。

以下是從不同的側面對未來勒索病毒發展趨勢的預測分析。

一、緊跟漏洞發展步伐

2018年除了Satan利用眾多Web應用漏洞進行傳播外，最有技術進取心的就要數GandCrab了，比如GandCrab在V5版本先後加入了對CVE-2018-8120、CVE-2018-8440、CVE-2018-0896等漏洞的利用技術。

二、更多的傳播方式

2018年除了常規模式外，新出現了利用U盤蠕蟲傳播勒索病毒的手段，此外利用軟體供應鏈傳播也在本年得以實現，使得短時間內大量使用者遭受攻擊。我們預計2019年勒索病毒傳播方式將繼續擴充套件。

三、攻擊面和目標擴大化

2016年出現的RushQL Oracle資料庫勒索病毒在2018年得以死灰復燃，此種病毒和其他勒索病毒最大的不同點在於它只破壞資料庫的結構，而不是加密磁碟檔案，這屬於典型的資料庫攻擊。我們預計2019年勒索病毒攻擊目標將繼續擴大，包括各種作業系統、應用程式都將成為勒索病毒攻擊的目標。

四、被攻擊的裝置種類不斷擴大

以往勒索病毒主要攻擊PC和伺服器以及部分移動裝置，未來包括工控裝置、嵌入式裝置、IoT裝置等都可能面臨勒索病毒攻擊的風險。

第四章，勒索病毒應急響應指南

政企單位如果已經感染勒索病毒，鑑於等待專業人員的救助往往需要一定的時間，所以，360終端安全實驗室建議及時採取必要的自救措施，有效止損，將損失降到最低。

一、如何判斷中毒

勒索病毒的主要目的是為了勒索，所以在植入病毒完成加密後，必然會提示受害者您的檔案已經被加密了無法再開啟，需要支付贖金才能恢復檔案。

1.業務系統無法訪問

2018年以來，勒索病毒的攻擊不再侷限於加密核心業務檔案，轉而對企業的伺服器和業務系統進行攻擊，感染企業的關鍵系統，破壞企業的日常運營，甚至還延伸至生產線——生產線不可避免地存在一些遺留系統和各種硬體難以升級打補丁等原因，一旦遭到勒索攻擊的直接後果就是生產線停產。

當然，業務系統出現無法訪問、生產線停產等現象時，並不能100%確定是伺服器感染了勒索病毒，也有可能是遭到DDoS攻擊或是中了其他病毒等原因所致，還需要結合以下特徵來判斷。

2.電腦桌面被篡改

伺服器被感染勒索病毒後，最明顯的特徵是電腦桌面發生明顯變化，即：桌面通常會出現新的文字檔案或網頁檔案，這些檔案用來說明如何解密的資訊，同時桌面上顯示勒索提示資訊及解密聯絡方式，通常提示資訊英文較多，中文提示資訊較少。

3.檔案字尾被篡改

伺服器感染勒索病毒後，另外一個典型特徵是：辦公文件、照片、視訊等檔案的圖示變為不可開啟形式，或者檔案字尾名被篡改。一般來說，檔案字尾名會被改成勒索病毒家族的名稱或其家族代表標誌，如：GlobeImposter家族的字尾為.dream、.TRUE、.CHAK等；Satan家族的字尾.satan、sicck；Crysis家族的字尾有.ARROW、.arena等。

二、如何緊急自救

政企單位如果已經感染勒索病毒，鑑於等待專業人員的救助往往需要一定的時間，所以360終端安全實驗室建議及時採取必要的自救措施，及時止損，將損失降到最低。

1.隔離中招主機

當確認伺服器已經被感染勒索病毒後，應立即隔離被感染主機。隔離的目的，一方面是為了防止感染主機自動通過連線的網路繼續感染其他伺服器，另一方面是為了防止黑客通過感染主機繼續操控其他伺服器。

隔離主要包括物理隔離和訪問控制兩種：物理隔離常用的操作方法是斷網和關機；訪問控制常用的操作方法是加策略和修改登入密碼。

2.排查業務系統

業務系統的受影響程度直接關係著事件的風險等級。評估風險，及時採取對應的處置措施，避免更大的危害。所以，在已經隔離被感染主機後，需要對區域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，並檢查備份系統是否被加密等，以確定感染的範圍。

3.聯絡專業人員

在應急自救處置後，建議第一時間聯絡專業的技術人士或安全從業者，對事件的感染時間、傳播方式，感染家族等問題進行排查。

請撥打360企業安全集團全國400應急熱線：4008 136 360 轉2 轉4。

三、如何進行恢復

一般來說，可以通過歷史備份、解密工具、重灌系統來恢復被感染的系統，建議在專業人員指導下進行，避免造成其他不必要的損失。

1.歷史備份還原

事先進行備份，既是最有效也是成本最低的恢復檔案的方式。如果事前已經對檔案進行了備份，就不會再擔憂和煩惱，可以直接自行恢復被加密的檔案。值得注意的是，在檔案恢復之前，應確保系統中的病毒已被清除，已經對磁碟進行格式化或是重灌系統，以免插上行動硬碟的瞬間，或是網盤下載檔案到本地後，備份檔案也被加密。

2.解密工具恢復

絕大多數勒索病毒使用的加密演算法都是國際公認的標準演算法，這種加密方式的特點是，只要加密金鑰足夠長，普通電腦可能需要數十萬年才能夠破解，破解成本是極高的。通常情況，如果不支付贖金是無法解密恢復檔案的。

但是，對於以下三種情況，可以通過360提供的解密工具恢復感染檔案。

勒索病毒的設計編碼存在漏洞或並未正確實現加密演算法。
勒索病毒的製造者主動釋出了金鑰或主金鑰。
執法機構查獲帶有金鑰的伺服器，並進行了分享。

可以通過網站（http://lesuobingdu.360.cn/）查詢哪些勒索病毒可以解密。例如：今年下半年大規模流行的GandCrab家族勒索病毒，GandCrabV5.0.3及以前的版本可以通過360解密大師進行解密。

需要注意的是：使用解密工具之前，務必要備份加密的檔案，防止解密不成功導致無法恢復資料。

3.重灌作業系統

當檔案無法解密，也覺得被加密的檔案價值不大時，也可以採用重灌系統的方法，恢復系統。但是，重灌系統意味著檔案再也無法被恢復。另外，重灌系統後需更新系統補丁，並安裝防毒軟體和更新防毒軟體的病毒庫到最新版本，而且對於伺服器也需要進行鍼對性的防黑加固。

當然，還有一種我們並不推薦的恢復方式，就是通過支付贖金來解密。勒索病毒的贖金一般為比特幣或其他數字貨幣，數字貨幣的購買和支付對一般使用者來說具有一定的難度和風險，所以即便選擇支付贖金的解密方式，也不建議自行支付贖金，請聯絡專業的安全公司或資料恢復公司進行處理，以保證資料成功恢復。

四、如何避免中毒

360終端安全實驗室提醒廣大政企單位從以下角度入手進行勒索病毒防範：

1.及時更新最新的補丁庫

病毒大規模爆發的原因都是因為補丁安裝不及時所致，及時更新補丁是安全運維工作的重中之重。

如果由於業務特殊性，對打補丁有著要求非常嚴格的要求，建議選擇專業的補丁管理產品。例如360終端安全產品就集成了先進的補丁管理功能，能夠進行補丁編排，對補丁按照場景進行灰度釋出，並且對微軟更新的補丁進行二次運營，能夠解決很多相容性問題，更大程度解決補丁難打的問題。

2.重要資料定期隔離備份

儘量建立單獨的檔案伺服器進行重要檔案的儲存備份，即使條件不允許，也應對重要的檔案進行定期隔離備份。

3.提高網路安全基線

掌握日常的安全配置技巧，如對共享資料夾設定訪問許可權，儘量採用雲協作或內部搭建的wiki系統實現資料共享；儘量關閉3389、445、139、135等不用的高危埠，禁用Office巨集等。

4.保持軟體使用的可信

平時要養成良好的安全習慣，不要點選陌生連結、來源不明的郵件附件，開啟前使用安全掃描並確認安全性，儘量從官網等可信渠道下載軟體，目前通過軟體捆綁來傳播的病毒也在逐漸增多，尤其是移動應用環境，被惡意程式二次打包的APP在普通的軟體市場裡非常常見。

5.選擇正確的反病毒軟體

隨著威脅的發展，威脅開始了海量化和智慧化趨勢。對於海量化的威脅，就需要利用雲端計算的能力來對抗威脅海量化的趨勢，因此在選擇反病毒軟體時，需要選擇具備雲查殺能力的反病毒軟體。

6.建立高階威脅深度分析與對抗能力

很多智慧威脅通過多種手段來躲避傳統反病毒軟體的查殺，這時就需要建立高階威脅深度分析和對抗能力，從終端、事件和時間等多維度綜合分析，配合全流量威脅檢測手段，可以更加有效的識別新興威脅。

7.提升新興威脅對抗能力

通過對抗式演習，從安全的技術、管理和運營等多個維度，對企業的網際網路邊界、防禦體系及安全運營制度等多方面進行模擬檢驗，持續提升企業對抗新興威脅的能力。

附錄1、2018熱點勒索病毒事件

2018年，為了賺取更多的贖金，勒索病毒們練就了十八般武藝，充分利用各種縫隙和漏洞發起攻擊，一時間，熱點勒索病毒事件此起彼伏。

1.幾度破解，GandCrab的2018有點傳奇

GandCrab是360網際網路安全中心在2月2日捕獲的一款新型勒索病毒。該勒索病毒一出現便利用RaaS的分發模式迅速在全網範圍內廣泛傳播。8月開始陸續採用RDP 暴力破解方式投放，11月利用U盤蠕蟲大肆傳播。不過該勒索病毒早期版本可解密。早在3月初，羅馬尼亞安全公司BitDefender就放出了該勒索病毒的解密工具，為中招使用者提供解密服務。

此後病毒進行了相應的升級來躲避解密。

而10月16日，一位敘利亞的父親在twitter上求助說自己孩子的照片和視訊均被該勒索病毒（v5.0.3）加密了，但付不起贖金。看到該求助後，GandCrab作者良心發現，放出了針對敘利亞地區受害者的解密工具。而很快，BitDefender則放出了v5.0.3（含）之前所有版本的解密工具。

2.以吃雞外掛的名義，Xiaoba勒索病毒很張揚

2月6日，一款名為Xiaoba的勒索病毒以“吃雞”外掛的名義，在貼吧、QQ群等社交平臺中瘋狂擴散。誘騙玩家關閉安全軟體，並對全盤檔案進行加密。此外，該勒索病毒作者還參與其他型別惡意軟體或外掛程式的開發，並高調發布到各種論壇中，很是張揚。

3.專盯高價值伺服器，GlobeImposter陰魂不散

GlobeImposter只加密伺服器，危害巨大。其中有影響力的事件要數2月24國內某省級兒童醫院被GlobeImposter攻擊出現系統癱瘓狀況。時值兒童流感高發季，醫院大廳人滿為患。事件起因是該院多臺伺服器感染GlobeImposter勒索病毒，其中包括資料庫檔案在內的多種重要檔案被病毒加密。黑客要求院方在6小時內為每臺中招機器支付1個比特幣贖金（當時約合人民幣66000餘元）。具不完全統計，僅2018年一年期間，該病毒家族就出現了近100個新型變種在網路中傳播。

4.三七分成，Saturn開啟傳銷式擴散傳播

3月5日，一款名為Saturn的勒索病毒開始發起攻擊。該勒索病毒會要求受害者在7天內支付300美元等價的比特幣，逾期則會贖金翻倍。但與以往勒索病毒不同，該病毒還採用了一種新的傳播模式——病毒作者會為二次傳播者按照三七的比例進行分成，鼓勵和誘導他人幫助其進行病毒的擴散和分發。

5.勒索or挖礦，Rakhni看配置決定如何賺更多錢

7月10日， Rakhni勒索病毒家族的最新變種發起了新一波的攻擊。該勒索病毒使用“魚叉式釣魚郵件”進行傳播，誘導受害者開啟郵件附件中的Word文件，一旦使用者根據誘導點選了文件中的圖示，則會啟動附帶的惡意程式。與以往不同的是，該程式會根據受害使用者的計算機環境以及配置，自動判斷對受害機器投放勒索病毒和挖礦木馬哪個能為作者賺取更多的利潤。

6.死灰復燃，RushQL只為勒索Oracle資料庫

11月，360終端安全實驗室陸續接到數起使用者反饋，中了Oracle資料庫勒索病毒。經確認，該病毒是由“SQL RUSH Team”組織發起的RushQL資料庫勒索病毒，是因為使用者下載使用了破解版PL/SQL導致的。該病毒最早出現在2016年11月，期間沉寂了1年多，直到最近突然呈現出死灰復燃之勢。

7.數萬人中招，“微信支付”勒索病毒短暫的一生

12月1日，國內首次出現了要求微信支付贖金的勒索病毒。該勒索病毒入侵電腦執行後會加密使用者檔案，並在桌面釋放一個“你的電腦檔案已被加密，點此解密”的快捷方式，隨後彈出解密教程和收款二維碼，最後強迫受害使用者通過手機轉賬繳付解密酬金，而且該勒索病毒沒有修改檔案字尾名。

在接到報案後，東莞網警24小時內火速偵破“12.05”特大新型勒索病毒破壞計算機資訊系統案，抓獲病毒研發製作者。

附錄2、關於360終端安全實驗室

360終端安全實驗室由多名經驗豐富的惡意程式碼研究專家組成，著力於常見病毒、木馬、蠕蟲、勒索軟體等惡意程式碼的原理分析和研究，致力為中國政企客戶提供快速的惡意程式碼預警和處置服務，在曾經流行的WannaCry、Petya、Bad Rabbit的惡意程式碼處置過程中表現優異，受到政企客戶的廣泛好評。

360終端安全實驗室以360天擎新一代終端安全管理系統為依託，為政企客戶提供簡單有效的終端安全管理理念、完整的終端解決方案和定製化的安全服務，幫助客戶解決內網安全與管理問題，保障政企終端安全。

附錄3、關於360天擎新一代終端安全管理系統

360天擎新一代終端安全管理系統是360企業安全集團為解決政企機構終端安全問題而推出的一體化解決方案，是中國政企客戶3300萬終端的信賴之選。系統以功能一體化、平臺一體化、資料一體化為設計理念，以安全防護為核心，以運維管控為重點，以視覺化管理為支撐，以可靠服務為保障，能夠幫助政企客戶構建終端防病毒、入侵防禦、安全管理、軟體分發、補丁管理、安全U盤、伺服器加固、安全准入、非法外聯、運維管控、主機審計、移動裝置管理、資產發現、身份認證、資料加密、資料防洩露等十六大基礎安全能力，幫助政企客戶構建終端威脅檢測、終端威脅響應、終端威脅鑑定等高階威脅對抗能力，為政企客戶提供安全規劃、戰略分析和安全決策等終端安全治理能力。

特別的是，360企業安全還面向所有360天擎政企使用者免費推出敲詐先賠服務：如果使用者在開啟了360天擎敲詐先賠功能後，仍感染了勒索軟體，360企業安全將負責賠付贖金，為政企使用者提供百萬先賠保障，幫政企客戶免除後顧之憂。

附錄4、關於360天擎終端安全響應系統

360天擎終端安全響應系統（EDR）以行為引擎為核心，基於人工智慧和大資料分析技術，對主機、網路、檔案和使用者等資訊，進行深層次挖掘和多維度分析，結合雲端優質威脅情報，將威脅進行視覺化，並通過場景化和全域性性的威脅追捕，對事件進行深度剖析，識別黑客/威脅意圖，追蹤威脅的擴散軌跡，評估威脅影響面，從而協同EPP、SOC、防火牆等安全產品，進行快速自動化的聯動響應，將單次響應轉化為安全策略，控制威脅蔓延，進行持續遏制，全面提升企業安全防護能力。