问题
- 您想使用最佳实践配置系统以防范勒索软件恶意软件
- 一般 ESET 应用程序反勒索软件最佳实践
- 一般反勒索软件实践
- 恢复加密文件
详细信息
点击展开
勒索软件是一种恶意软件,它可以锁定设备或加密其内容,向所有者勒索钱财,以换取恢复对这些资源的访问。这类恶意软件还可能包含一个内置定时器,规定必须在截止日期前完成支付;否则,解锁数据和硬件的价格就会提高,或者信息和设备最终将永久无法访问。
勒索软件是一种加密个人和数据文件的感染。通常情况下,工作站受到感染后,勒索软件会尝试加密任何映射的共享驱动器。这会使这种感染看起来像是通过网络传播,其实不然。
虽然您的文件可能会被加密,但您的系统可能并未受到感染。当文件服务器上的共享驱动器被加密,但服务器本身并不包含恶意软件感染(除非是终端服务器)时,就有可能出现这种情况。
其他已知的勒索软件有
- Win32/Filecoder
- Filecoder.WannaCryptor
- 打开来自陌生来源的电子邮件或此类电子邮件中的 ZIP 文件后感染 "Win32/Filecoder.TeslaCrypt.A"(TeslaCrypt)或 "Win32/Filecoder.Locky.A"。
- "CryptoLocker"、"Cryptowall"、"Dirty decrypt "和 "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
解决方案
当前版本的 ESET 应用程序使用多层技术保护计算机免受勒索软件的攻击。
这些技术包括高级内存扫描仪、ESET LiveGrid® 信誉系统和漏洞拦截器。
此外,最新的 ESET 应用程序还提供了增强型僵尸网络保护模块,可阻止勒索软件与命令和控制 (C&C) 服务器之间的通信。
一般 ESET 应用程序反勒索软件最佳实践
- 启用 PUA(潜在不需要的应用程序)检测功能
按照链接文章中的说明,检测不需要的、不安全的和可疑的应用程序,如 RMM(远程监控和管理)工具、易受攻击的驱动程序、网络扫描仪和其他可能对系统构成安全风险的软件。虽然这些工具可能是可信的、经过签名的、合法的,甚至是内置的系统实用程序,但它们在勒索软件入侵时被攻击者广泛滥用。关于潜在垃圾应用程序和潜在垃圾内容的更多信息。
-
保持启用高级内存扫描器和漏洞拦截器
这些新设计的 ESET 算法加强了对恶意软件的保护,这些恶意软件通过使用混淆和/或加密来逃避反恶意软件产品的检测。
高级内存扫描器可查找恶意软件在内存中解密后的可疑行为,而漏洞利用拦截器则可加强对定向攻击和以前未发现的漏洞(也称为零日漏洞)的防护。
为了获得最大的保护,我们建议您将 ESET 应用程序升级到最新版本:
-
保持 ESET LiveGrid® 启用
ESET 云恶意软件防护系统基于 ESET LiveGrid®。它可以监控未知和潜在的恶意应用程序,并对样本进行自动沙盒和行为分析。
确保在您的 ESET 产品中启用并运行 ESET LiveGrid® 声誉和 ESET LiveGrid® 反馈系统。
-
保持 ESET 更新
现有勒索软件的新变种经常发布,因此定期接收病毒库更新非常重要(ESET 应用程序将每小时检查更新,前提是您拥有有效的订阅和正常的互联网连接)。
-
虚拟机用户
要获得防范勒索软件恶意软件的最佳保护,我们建议在虚拟环境中使用 ESET Endpoint Security for Windows。
-
确保启用勒索软件防护盾
作为自我防御技术的一部分,"勒索软件防护盾 "是作为 HIPS 功能一部分的另一层保护。有关详细信息,请参阅ESET 术语表中的 "勒索软件防护盾 "以及如何在 ESET 应用程序中进行配置。
-
在 ESET 业务产品中手动配置或使用 ESET PROTECT On-Prem/ESET PROTECT Policy 配置其他设置以防范勒索软件
-
通知
将加密型恶意软件(勒索软件)的风险降至最低
-
计划定期备份系统,并在离线存储中至少保留一份备份,以保护您的最新工作免受攻击。
-
限制的类型有很多,例如限制访问应用程序数据,甚至有些限制是作为组策略对象(GPO)预置的。
- 禁止从 AppData 和 LocalAppData 文件夹运行文件。
- 阻止从 Temp 子目录(默认情况下是 AppData 树的一部分)执行文件。
- 阻止可执行文件从各种解压实用程序(例如 WinZip 或 7-Zip)的工作目录中运行。
- 此外,在 ESET Endpoint Security for Windows、ESET Mail Security for Microsoft Exchange Server 和 ESET Server Security for Microsoft Windows Server 中,您可以创建 HIPS 规则,只允许某些应用程序在计算机上运行,默认情况下阻止所有其他应用程序:创建 HIPS 规则并使用 ESET PROTECT On-Prem 在客户端工作站上执行该规则。
-
不要禁用用户账户控制(UAC)
如果声称是传真、发票或收据的附件名称可疑,或者您没有预料到会收到这些附件,请不要打开。
#@#publication_url id='120' target='_blank' content='将恶意软件攻击的风险降至最低。
-
我们推荐 ESET Secure Authentication,它可以作为云组件或内部部署组件使用。有关详细信息,请访问 ESET 在线帮助。
-
威胁防御
-
通过组策略禁用 Microsoft Office 中的宏 (VBA)
Microsoft Office 2019 及更早版本:为 Office 的 VBA 宏规划安全设置
Microsoft Office 365 使用 Office Cloud Policy Service (OCPS) 来执行阻止从互联网在 Office 文件中执行宏的策略。
-
保持系统更新
为确保获得最佳保护,请及时更新操作系统和应用程序。安装 Windows Update 工具提供的最新高优先级更新,并定期检查或启用自动更新功能。新的安全更新会修补系统漏洞,降低恶意软件攻击的风险。
-
打开可能被利用的潜在端口/服务
为防止未知 IP 地址成功实施暴力破解攻击,我们强烈建议锁定 SMB、SQL 和 RDP。
服务 建议 SMB 关闭文件共享端口135-139和445。SMB 端口不应暴露在互联网上。 SQL 将允许连接到 SQL 的受信任 IP 地址列入白名单。 RDP 关闭 RDP 的外部连接,阻止外部 RDP 强制攻击。使用带有双因素身份验证的 VPN 连接到内部网络。在指定次数的尝试失败后设置自动锁定账户,并在解锁前设置等待时间。强化密码。禁用未使用或默认账户(管理员、admin、root)。为 RDP 登录白名单特定用户和组。白名单特定 IP 地址,以启用 RDP 连接。 -
基于加密的恶意软件通常通过 Windows 内置的远程桌面协议 (RDP) 访问目标计算机。RDP 允许他人远程连接到您的系统,因此攻击者可以滥用 RDP 来移除保护,然后部署恶意软件。
我们建议您禁用或更改远程桌面协议。如果不需要使用 RDP,可以更改默认端口(3389)或禁用 RDP,以保护机器免受勒索软件和其他 RDP 攻击。有关如何禁用 RDP 的说明,请访问下面相应的 Microsoft 知识库文章:
有关 RDP 的更多信息,请参阅以下 WeLiveSecurity 文章:确保 RDP 和远程访问的安全。
-
密码保护 ESET 应用程序设置
如果您是企业用户,我们建议您使用密码保护 ESET 应用程序,防止攻击者进行未经授权的更改。这样可以防止未经验证的设置修改、禁用保护甚至卸载 ESET 产品。如果使用 RDP,建议使用与 RDP 登录凭证不同的密码。
有关详细信息,请参阅 如何使用密码保护 ESET 应用程序。
被加密的文件可以恢复吗?
现代勒索软件使用非对称加密和多种加密算法对数据进行加密。简而言之,文件是用公钥加密的,没有相关的私钥就无法解密。对于当前的勒索软件,私钥永远不在受影响的工作站或环境中。这意味着需要从感染前做好的备份中恢复数据。
如果没有备份,可以尝试从阴影副本中恢复文件。下载 Shadow Explorer。
不过,勒索软件感染删除阴影副本以阻止恢复文件的情况并不少见。
如果感染了勒索软件,应该采取哪些措施?
-
断开计算机与网络的连接。
-
找到包含支付说明的 TXT 或 HTML 文件,例如 "如何解密 "已加密的共享文件夹/驱动器。恶意软件研究人员可能会使用此文件进行进一步分析。
