[KB3433] Osvědčené postupy ochrany před ransomware

• Potřebujete si nastavit systém v souladu s osvědčenými postupy ochrany před ransomware
• Ochrana před ransomware prostřednictvím produktů ESET
• Všeobecné postupy proti ransomware
• Obnova zašifrovaných souborů

Mezi tyto technologie patří například Pokročilá kontrola paměti, reputační systém ESET LiveGrid® a Exploit Blocker.

Nejnovější produkty ESET navíc poskytují vylepšený modul Ochrana před Botnet, který blokuje komunikaci mezi ransomware a řídícími (C&C) servery.

Ochrana před ransomware prostřednictvím produktů ESET

• Ponechejte zapnuté funkce Exploit Blocker a Pokročilá ochrana paměti 

  Tyto dvě funkce jsou v produktech ESET od verze 5 standardně zapnuté. Algoritmy vyvinuté společností ESET poskytují zvýšenou ochranu před malware, který byl navržen tak, aby se pomocí maskování a šifrování vyhýbal detekci bezpečnostních produktů.

  Pokročilá ochrana paměti detekuje jakékoli podezřelé chování a procesy probíhající po tom, jak v paměti dojde k odkrytí malware. Technologie Exploit Blocker posiluje ochranu proti cíleným útokům a nově vznikajícími zranitelnostmi, tzv. zero-day hrozbami. 

  Pro maximální ochranu doporučujeme aktualizovat produkty ESET na nejnovější verzi:

  • domácí uživatelé: Zjistěte, jakou verzi produktu ESET máte nainstalovanou

  • firemní uživatelé: Zjistěte, jakou verzi produktu ESET máte nainstalovanou

• Mějte zapnutý ESET LiveGrid

  Cloudový systém ochrany před malware vyvinutý společností ESET Cloud je založený na technologii ESET LiveGrid. Monitoruje neznámé a potenciálně škodlivé aplikace a posílá vzorky na analýzu do cloudového systému společnosti ESET.

  Ujistěte se, že systém reputace a zpětné vazby ESET LiveGrid® je ve vašem produktu ESET zapnutý a aktivní.

• Udržujte ESET aktualizovaný

  Nové varianty stávajícího ransomwaru jsou vydávány často, proto je důležité, abyste pravidelně dostávali aktualizace virové databáze (váš produkt ESET bude kontrolovat aktualizace každou hodinu za předpokladu, že máte platnou licenci a funkční internetové připojení).

  • domácí uživatelé: Zjistěte, zda je váš produkt ESET aktuální

  • firemní uživatelé: Zjistěte, zda je váš produkt ESET aktuální

• Chraňte virtuální počítače

  Pro zajištění ochrany před ransomware ve virtuálních prostředích doporučujume používat řešení ESET Endpoint Security.

• Ujistěte se, že máte zapnutý Ransomware Shield

  Ransomware Shield (štít) jako součást technologie Self-Defense je další vrstva ochrany, která pracuje  v rámci systému HIPS. Více informací o funkci Ransomware shield naleznete ve slovníku pojmů společností ESET a o její konfiguraci v produktech ESET se dočtete na stránkách Online nápovědy

• Nakonfigurujte další nastavení ochrany proti ransomware ve firemních produktech ESET manuálně nebo pomocí politik v ESET PROTECT/ESET PROTECT Cloud

  • Konfigurace pravidel HIPS pro firemní produkty ESET

  • Konfigurace pravidel firewallu pro produkt ESET Endpoint Security

  • Konfigurace pravidel pro produkt ESET Mail Security

• Oznámení

  • Oznámení o detekovaných hrozbách

  • Konfigurace automatických oznámení o hrozbách ve webové konzoli ESET PROTECT

Všeobecné zásady ochrany před ransomware - minimalizování rizika útoku šifrovacího malware (ransomware)

• Vytvářejte si zálohy systému

  Pravidelně si vytvářejte zálohy sytému, abyte svoje nejnovější data chránili před případným útokem, přičemž alespoň jednu novou zálohu uchovávejte v offline úložišti.

• Uživatelská oprávnění a omezení práv

  Existuje mnoho druhů omezení, například omezení přístupu k datům aplikací, případně i předdefinovaná nastavení skupinové politiky (GPO – Group Policy Object).

  • Zakažte spouštění souborů z adresářů AppData a LocalAppData.

  • Zablokujte spouštění z podadresáře Temp (ve výchozím nastavení je součástí stromové struktury adresáře AppData).

  • Zablokujte spouštění spustitelných souborů z pracovních adresářů různých komprimačních nástrojů (například WinZip nebo 7-Zip).

    V produktech ESET Endpoint Security/Antivirus, ESET Mail Security a ESET Server Security můžete navíc vytvářet vlastní pravidla systému HIPS, na základě kterých bude ve vašem počítači umožněno spouštění jen vybraných aplikací, zatímco všechny ostatní aplikace budou blokované: [KB8018] Vytvoření pravidla HIPS a jeho vynucení na klientské pracovní stanici pomocí ESET PROTECT (8.x - 10.x).

• Nevypínejte kontrolu uživatelských účtů (UAC)

  Neotevírejte přílohy, které se prezentují jako faktura, fax nebo potvrzení, pokud mají podezřelý název nebo jste jejich přijetí neočekávali.

  Co mohu udělat pro minimalizaci rizika malware útoku?

• Používejte dvoufaktorové ověřování (2FA)

  Doporučujeme ESET Secure Authentication.

• Obrana proti hrozbám

  Doporučujeme řešení ESET LiveGuard Advanced.

• Zakažte makra v Microsoft Office prostřednictvím skupinové politiky

  Microsoft Office 2013/2016: upravte nastavení zabezpečení maker VBA

• Udržujte svůj systém v aktuálním stavu

  Nejvyšší možnou ochranu svého počítače zajistíte tak, že budete operační systém a nainstalované aplikace udržovat aktualizované. Je důležité vždy nainstalovat nejnovější aktualizace s vysokou prioritou nabízené v nástroji Windows Update a pravidelně kontrolovat dostupnost nových aktualizací, případně zapnout funkci automatické aktualizace. Nové bezpečnostní aktualizace slouží pro záplatování zranitelnosti systému a snižují riziko napadení škodlivým software.

  Společnost Microsoft vydala bezpečnostní aktualizace pro současné operační systémy Windows, které zmírňují kritickou zranitelnost. Pokyny pro nasazení těchto aktualizací naleznete v bulletinu zabezpečení společnosti Microsoft MS17-010 - Critical.

• Otevřené porty/služby, které mohou být potenciálně zneužité

  Pokud chcete zabránit útoku hrubou silou z neznámých IP adres, důrazně doporučujeme omezit přístup k SMB, SQL a RDP.

  1. SMB

     Uzavřete porty 135-139 a 445 pro sdílení souborů. Porty SMB by neměly být přístupné z internetu.

  2. SQL

     Povolte jen důvěryhodné IP adresy, které se mohou připojovat k SQL

  3. RDP

     • Zabraňte útokům hrubou silou (Brute Force Attack) na protokol RDP směrem z internetu tak, že zakážete RDP pro externí připojení. Pro připojení k vnitřní síti používejte VPN s dvoufaktorovým ověřováním (2FA).

     • Nastavte automatické zablokování účtu po určitém počtu neúspěšných pokusů. Přidejte též čekací lhůtu na automatické odemknutí po zablokování účtu.

     • Vynuťte používání silných hesel.

     • Zakažte nepoužívané běžné účty a výchozí účty, například správce, admin nebo root.

     • Povolte konkrétní uživatele a skupiny uživatelů, kteří se mohou přihlašovat přes RDP.

     • Povolte konkrétní IP adresy, ze kterých je možné se připojit přes RDP.

• Remote Desktop Protocol (RDP) – jak se chránit před útoky

  Šifrovací malware se často dostává do cílových počítačů využitím protokolu RDP (protokol vzdálené pracovní plochy). Tento protokol systému Windows umožňuje jiným uživatelům získat vzdálený přístup do vašeho počítače. Útočník tak může zneužít RDP, aby deaktivoval ochranu a následně do počítače dostal malware.

  Doporučujeme vám vypnout RDP nebo změnit jeho nastavení. Pokud protokol RDP nepotřebujete využívat, můžete RDP úplně vypnout, abyste předešli útoku ransomware a jiným hrozbám, které se šíří prostřednictvám tohoto protokolu. Návod na vypnutí RDP naleznete v následujících článcích databáze znalostí společnosti Microsoft, které jsou rozdělené podle verze operačního systému Windows:

  • Windows 7
  • Windows 8
  • Windows 10 a 11

  Pokud máte zájem o více informací ohledně šíření malware prostřednictvím protokolu RDP, můžete si přečíst následující článek na našem bloguWeLiveSecurity (pouze v anglickém jazyce): Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

• Ochrana nastavení produktu ESET heslem

  Pokud jste firemní uživatel, doporučujeme nastavit heslo na ochranu produktu ESET a jeho nastavení před útočníky. Zabráníte tak neoprávněné změně nastavení, vypnutí ochrany nebo dokonce odinstalování produktu ESET. Doporučujeme vám nastavit jiné heslo než to, které používáte pro připojení ke vzdálené pracovní ploše přes RDP.

  Informace o tom, jak chránit produkt ESET heslem, naleznete v článku naší databáze znalostí.

Lze obnovit zašifrované soubory?

Moderní ransomware šifruje data pomocí asymetrických metod a několika typů šifrování. Stručně řečeno, soubory jsou zašifrovány veřejným klíčem a bez příslušného soukromého klíče je nelze dešifrovat. U současného ransomware se soukromý klíč nikdy nenachází na napadené pracovní stanici nebo ve virtuálním zařízení. To znamená, že data je nutné obnovit ze zálohy, která byla vytvořená ještě předtím, než se infiltrace dostala do zařízení.

Pokud nejsou k dispozici žádné zálohy, můžete se pokusit obnovit soubory ze stínových kopií. Můžete použít program Shadow Explorer, který si můžete stáhnout z následující webové stránky: https://www.shadowexplorer.com/downloads.html

Není neobvyklé, že mnoho druhů ransomware odstraní i stínové kopie a zabrání tak obnovení souborů.

Jaké kroky byste měli podniknout, pokud jste infikováni ransomware?

1. Odpojte počítač od sítě.

2. Vyhledejte soubor ve formátu TXT nebo HTML s názvem „How to decrypt“ nebo podobným, který obsahuje podrobné instrukce, jak útočníkovi zaplatit za dešifrování vašich souborů. Tento soubor mohou naši experti na malware následně podrobit analýze.

3. Na napadeném počítači spusťte nástroj ESET SysRescue. Obnovu systému ze zálohy proveďte až po identifikaci a odstranění hrozby z počítače (přečtěte si část Vytvářejte si zálohy systému).

4. Kontaktujte technickou podporu společnosti ESET