随着我国互联网+社会的进度日益加快，各级政府组织、企事业单位都把办公、管理、业务、交易等运行于信息系统之上，虽然传统的网络安全产品可以实现一部分的安全要求，解决一些网络安全问题，但计算终端的安全一直是整个网络安全体系中的突出薄弱环节。2017年5月，WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元。2017年6月，欧洲、北美地区多个国家遭到“NotPetya”病毒攻击。乌克兰受害严重，其政府部门、国有企业相继“中招”。2017年10月，俄罗斯、乌克兰等国遭到勒索病毒Bad Rabbit攻击，德国、土耳其等国随后也发现此病毒。中国是勒索病毒攻击受害最为严重的国家之一，仅一天时间，国内有近3万机构被攻击，覆盖至全国各地，其中教育、医疗、能源化工是国内被攻击最为严重的三大行业。

      2018年5月3日，腾讯御见威胁情报中心发布，继GandCrab勒索病毒的V1及V2版本之后，腾讯反病毒实验室全球率先截获GandCrab勒索病毒的V3版本，最新的GandCrab V3勒索病毒使用了CVE-2017-8570漏洞进行传播，漏洞触发后会显示” ?????”（韩语” 你好”）的文字内容。与以往版本的勒索病毒相比，该版本并没有直接指明赎金金额和勒索的币种，而是要求用户使用Tor网络或者Jabber即时通讯软件联系病毒作者，同时取消了二维码获取付款地址。腾讯御见威胁情报中心同时监测到，国内已有GandCrab V3.0 勒索病毒的病毒生成器出现，病毒生成器会大大加速勒索病毒的传播。监测数据表明，勒索病毒的攻击目标越来越针对企业网络，因个人受害者极少支付赎金。GandCrab 勒索病毒的主要传播手法是利用钓鱼邮件和水坑攻击（在企业用户最可能访问到的资源附近部署陷阱文件，比如伪造字体更新，供潜在目标下载）。

      勒索病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，这些勒索病毒对常规依靠特征检测的安全产品是一个极大的挑战。传统特征检测安全产品面临挑战，腾讯安全反病毒实验室相关报告表示，终端威胁2017年上半年相比2016年下半数增长30%，平均每月拦截木马病毒近1.7亿次。企业安全面临的威胁，超过85%来自企业内部终端，而主要的风险类型是病毒和漏洞。终端安全事件频发，是因为终端安全意识不够、管理不规范，选错用错了终端杀软。

      具体来说主要有以下四类常见场景：未安装终端安全软件，由于企业、组织或终端使用者安全意识薄弱，不信任或不认可终端安全防护软件，导致终端始终“裸奔”于网络环境中。终端安全管理随意，企业、组织没有严格的终端安全管理制度，或者终端安全管理制度无法有效落地，导致随意插入U盘，随意下载文件、软件，威胁四处泛滥。选错用错安全产品，企业、组织由于缺乏对终端安全管理的整体规划和设计，病急乱投医，又导致了以下三种情况，一是安装了一些国外安全产品，晦涩难懂无法正常使用；二是安装了某些国内体验较差的安全产品，资源占用高，操作体验差，病毒查杀能力弱，功能不完善；三是以上产品中可能还有访问互联网的后门，为企业安全和数据隐私带来新的风险。安全软件使用不当，由于单位对安全管理不够重视和规范，终端安全防护执行不到位，导致未开启有效的/全部的防护功能，未及时更新补丁、修复漏洞，无法快速应对新型病毒，无法及时联动管理员进行风险应急处理。

     冰冻三尺，非一日之寒，终端病毒查杀的能力在于病毒库及规则，需要经验和能力的积累；终端安全防护的技术趋势：融合云+端一体化的方式，实现已知与未知病毒、在线与离线环境的全面防护；终端安全防护除了需要防护病毒和漏洞，更要注重规范化管理，减少人为原因引发的终端安全问题。云+端智慧协同的终端安全管理，云+端智慧协同的终端安全管理系统，主要包括以下部分：AI人工智能自动化深度学习；腾讯和知道创宇联合安全大数据的威胁情报；云端+边界+终端联动高级风险检测；全面查杀已知病毒/病毒变种，未知威胁的国际领先安全能力。腾讯的哈勃分析系统充分利用了AI人工智能自动化深度学习的海量大数据威胁和风险分析平台。作为VirusTotal的全球首家动态行为合作伙伴，哈勃分析系统实现了基于主动防御理念的多步行为动态分析，为整体方案提供全面检测各类未知威胁和威胁变种的国际水准的能力。

     腾讯和知道创宇联合安全大数据在终端安全方面，积累了超过700亿的样本数据，超过100亿的白名单和超过40亿的黑名单数据。每天可以一次或多次更新系统数据，在特殊场景、例如WannaCry勒索病毒爆发期间，为系统提供小时级的数据更新频率。云端+边界+终端联动风险检测。通过新一代大数据威胁感知能力，使用云端安全大数据发掘各类新型勒索病毒、矿机恶意文件或APT的攻击线索，全面提升了系统的整体监测恶意代码、APT的能力。具体来说，实现了边界防护、实时监控、云端鉴定、主动防御、漏洞修复的一体化安全风险检测和修复能力，帮助系统用户轻松发现内部的高级威胁和新型病毒，全面控制企业信息安全风险。

     全面查杀已知病毒/病毒变种，未知威胁。对于已知威胁，系统采用了双云加TAV的国际水准查杀机制，双云包括特征云引擎和文件云引擎，结合本地TAV启发式反病毒引擎的能力，可以迅速查杀各类勒索病毒和矿机恶意文件，同时对资源占用极少，适合各种性能配置的终端设备。未知病毒查杀，系统则采用了双引擎实时主动式拦截技术，包括人工智能启发式引擎TVM和主动防御云引擎，根据样本一系列的行为特征来进行综合的风险判定，其监控和判断能力由后台的大数据训练集群支持。以腾讯和知道创宇7+1联合安全矩阵作为技术支撑的腾讯御点终端安全管理系统，成功实践了云+端智慧协同终端安全管理系统的技术思路，为国内政府和企业用户提供了新一代终端安全管理的整体能力。