一、诺亚防勒索软件POC测试

准备工作：

原理：

诺亚防勒索病毒产品为CS架构，无离线版，不可脱离server端独立运行。

1、阻止勒索病毒对文件的加密篡改（通过客户端上报日志到服务器端，服务器端进行策略下发）

2、阻止勒索病毒运行（客户端打开堡垒模式后，即可阻止所有.exe的运行）

1、诺亚防勒索系统Server端：

2、诺亚防勒索系统客户端部署：

3、发现缺少.Net文件，则安装.Net 3.5

4、安装.Net 3.5功能（程序和功能->功能->.NET Framework 3.5）

5、安装完成，双击运行。

6、查看诺亚防勒索病毒系统Server端，查看设备是否已受保护和监控。

7、验证是否可以关闭诺亚防勒索病毒客户端（尝试关闭任务管理器进程）

8、验证是否可以关闭诺亚防勒索病毒客户端（命令行尝试关闭PID进程task killed）

9、注入Fake勒索病毒软件进行实际测试

10、对任意文件夹进行文件加密，发现无法运行勒索病毒程序

11、诺亚防勒索病毒软件日志未上传

二、天融信杀毒软件POC测试

准备工作：

原理：

天融信EDR系统为CS架构，可脱离server端独立进行离线运行。

离线版可实现勒索病毒诱捕，可对整个C盘或D盘进行防勒索病毒，但对于某个子文件夹的防勒索病毒效果不佳，基本能够满足绝大部分的需求。

1、安装天融信EDR客户端（offline离线版）

2、选择脱离企业管理

3、开启勒索病毒诱捕

4、注入勒索病毒，并对某个固定文件夹进行加密。

5、成功加密某个子文件夹

6、打开测试文件，发现乱码。

7、将文件解密后，出现原始测试字符。

8、对某个盘进行加密，譬如C://盘进行加密，发现勒索病毒无法启动。

9、通过天融信杀毒软件查看安全日志，设置相关的黑名单IP，防止肉鸡攻破系统。

10、通过天融信杀毒软件查看安全日志，添加相关的黑名单IP/白名单IP/协议控制。

 

综上所述，相对来说诺亚和天融信的EDR各有优劣势，相对而言诺亚的防勒索效果更佳，但是天融信防勒索性价比较高。