Vydání
- Chcete použít osvědčené postupy pro konfiguraci systému na ochranu před malwarem ransomware
- Obecné doporučené postupy produktů ESET proti ransomwaru
- Obecné postupy proti ransomwaru
- Obnovení zašifrovaných souborů
Podrobnosti
Klikněte pro rozbalení
Ransomware je malware, který dokáže zablokovat zařízení nebo zašifrovat jeho obsah a vymáhat od majitele peníze výměnou za obnovení přístupu k těmto zdrojům. Tento druh malwaru může mít také zabudovaný časovač s termínem platby, který je třeba dodržet; jinak cena za odemčení dat a hardwaru poroste - nebo budou informace a zařízení nakonec trvale znepřístupněny.
Ransomware jsou infekce, které šifrují osobní a datové soubory. Obvykle je infikována pracovní stanice a poté se ransomware pokusí zašifrovat všechny mapované sdílené jednotky. Díky tomu se může zdát, že se tato infekce šíří po síti, i když tomu tak není.
Vaše soubory sice mohou být zašifrovány, ale váš systém nemusí být infikován. To je možné, když je zašifrována sdílená jednotka na souborovém serveru, ale samotný server neobsahuje infekci malwarem (pokud se nejedná o terminálový server).
Dalšími známými příklady ransomwaru jsou např:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) nebo infekce Win32/Filecoder.Locky.A po otevření e-mailu z neznámého zdroje nebo souborů ZIP z takového e-mailu
- "CryptoLocker", "Cryptowall", "Dirty decrypt" a "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Řešení
Současné verze produktů ESET využívají k ochraně počítačů před ransomwarem více vrstev technologií.
Mezi tyto technologie patří například Advanced Memory Scanner, ESET LiveGrid® Reputation System a Exploit Blocker.
Nejnovější produkty ESET navíc poskytují vylepšený modul Botnet Protection, který blokuje komunikaci mezi ransomwarem a Command and Control (C&C) servery.
Obecné doporučené postupy produktů ESET proti ransomwaru
-
Mějte zapnutý Advanced Memory Scanner a Exploit Blocker
Tyto dvě funkce jsou v produktech ESET verze 5 a novější standardně zapnuté. Tyto nově navržené algoritmy společnosti ESET posilují ochranu proti malwaru, který byl navržen tak, aby se vyhnul detekci antimalwarovými produkty pomocí obfuskace a/nebo šifrování.
Advanced Memory Scanner vyhledává podezřelé chování po dekódování malwaru v paměti a Exploit Blocker posiluje ochranu proti cíleným útokům a dříve neviděným zranitelnostem, známým také jako zranitelnosti nultého dne.
Pro maximální ochranu doporučujeme aktualizovat produkty ESET na nejnovější verzi:
-
domácí uživatelé: Který produkt ESET mám a je to nejnovější verze? (Domácí uživatelé)# -
firemní uživatelé: Mám nejnovější verzi firemních produktů ESET?
-
-
Mějte zapnutý ESET LiveGrid
Systém ochrany před škodlivým softwarem ESET Cloud je založen na ESET LiveGrid. Monitoruje neznámé a potenciálně škodlivé aplikace a vzorky podrobuje automatickému sandboxingu a behaviorální analýze.
Ujistěte se, že Reputační systém ESET LiveGrid® a systém zpětné vazby ESET LiveGrid® je povolen a funguje ve vašem produktu ESET.
-
Udržujte ESET aktualizovaný
Nové varianty stávajícího ransomwaru jsou vydávány často, proto je důležité, abyste dostávali pravidelné aktualizace virové databáze (váš produkt ESET kontroluje aktualizace každou hodinu za předpokladu, že máte platnou licenci a funkční internetové připojení).
-
Uživatelé virtuálních počítačů
Pro nejlepší ochranu před ransomwarem doporučujeme ve virtuálních prostředích používat ESET Endpoint Security.
-
Ujistěte se, že máte zapnutý Ransomware Shield
Ransomware Shield jako součást technologie Self-Defense je další vrstva ochrany, která funguje jako součást funkce HIPS. Více informací naleznete v článku Ransomware Shield v ESET Glosáři a v návodu na jeho konfiguraci v produktech ESET.
-
Konfigurace dalších nastavení ochrany proti ransomwaru v produktech ESET pro firmy ručně nebo pomocí ESET PROTECT On-Prem/ESET PROTECT Policy
-
Oznámení
Obecné doporučené postupy proti ransomwaru - Minimalizujte riziko škodlivého softwaru založeného na šifrování (ransomwaru)
-
Uchovávejte zálohy svého systému
Plánujte pravidelné zálohování systému a alespoň jednu takovou zálohu uchovávejte v offline úložišti, abyste před útokem ochránili svou nejnovější práci.
-
Uživatelská oprávnění a omezení práv
Existuje mnoho typů omezení, například omezení přístupu k datům aplikací, a dokonce i taková, která jsou předem vytvořena jako objekt zásad skupiny (GPO).
-
Zakázat spouštění souborů ze složek AppData a LocalAppData.
-
Blokování spouštění z podadresáře Temp (ve výchozím nastavení je součástí stromu AppData).
-
Zablokovat spouštění spustitelných souborů z pracovních adresářů různých dekompresních nástrojů (například WinZip nebo 7-Zip).
V ESET Endpoint Security/Antivirus, ESET Mail Security a ESET File Security můžete navíc vytvořit pravidla HIPS, která povolí spouštění pouze určitých aplikací v počítači a všechny ostatní ve výchozím nastavení zablokují: Vytvoření pravidla HIPS a jeho vynucení na klientské pracovní stanici pomocí ESET PROTECT On-Prem.
-
-
Nevypínejte Řízení uživatelských účtů (UAC)
Neotvírejte přílohy, které se vydávají za fax, fakturu nebo účtenku, pokud mají podezřelý název nebo jste jejich přijetí neočekávali.
-
Používejte dvoufaktorové ověřování (2FA)
Doporučujeme ESET Secure Authentication.
-
Obrana proti hrozbám
Doporučujeme ESET LiveGuard Advanced.
-
Zakázat makra v Microsoft Office prostřednictvím zásad skupiny
Office 2013/2016 (následující odkaz je pro 2013, ale jsou to stejná nastavení pro 2016): Plánování nastavení zabezpečení maker VBA pro Office
-
Udržujte svůj systém v aktuálním stavu
Chcete-li zajistit nejlepší dostupnou ochranu, udržujte svůj operační systém a aplikace aktualizované. Nainstalujte nejnovější aktualizace s vysokou prioritou nabízené v nástroji Windows Update a pravidelně je kontrolujte nebo zapněte funkci automatických aktualizací. Nové bezpečnostní aktualizace opravují zranitelnosti systému a snižují riziko napadení škodlivým softwarem.
-
Potenciální porty/služby, které by mohly být zneužity, pokud zůstanou otevřené
Abyste zabránili neznámé IP adrese provést úspěšný útok hrubou silou, důrazně doporučujeme zablokovat protokoly SMB, SQL a RDP.
-
SMB
Uzavřete porty 135-139 a 445 pro sdílení souborů. Porty SMB by neměly být vystaveny přístupu do internetu.
-
SQL
Vytvořte bílou listinu důvěryhodných IP adres, které se mohou připojovat k SQL
-
RDP
-
Zabraňte útokům Brute Force na RDP zvenčí uzavřením RDP pro externí připojení. Pro připojení k vnitřní síti používejte VPN s dvoufaktorovým ověřováním.
-
Nastavte automatické zablokování účtu po určitém počtu neúspěšných pokusů. Zahrňte čekací dobu pro automatické odemknutí po zablokování účtu.
-
Vynucujte silná hesla
-
Zakázat běžné nepoužívané a výchozí účty, například administrator, admin nebo root
-
Vytvoření bílé listiny konkrétních uživatelů a skupin, které umožní přihlášení pomocí protokolu RDP
-
Vytvoření bílé listiny konkrétních IP adres pro povolení připojení přes RDP
-
-
-
Osvědčené postupy pro ochranu protokolu vzdálené plochy před útoky
Škodlivý software založený na šifrování často přistupuje k cílovým počítačům pomocí nástroje RDP (Remote Desktop Protocol) integrovaného v systému Windows. RDP umožňuje ostatním připojit se k systému na dálku, takže útočník může zneužít RDP k odstranění ochrany a následnému nasazení malwaru.
Doporučujeme zakázat nebo změnit protokol Vzdálená plocha. Pokud použití protokolu RDP nevyžadujete, můžete změnit výchozí port (3389) nebo protokol RDP zakázat a ochránit tak počítač před ransomwarem a dalšími zneužitími protokolu RDP. Pokyny k zakázání protokolu RDP naleznete v příslušném článku znalostní databáze společnosti Microsoft níže:
Další informace o protokolu RDP naleznete v následujícím článku WeLiveSecurity: Hackeři vzdálené plochy (RDP) 101: Odtud vidím vaši plochu!
-
Ochrana nastavení produktu ESET heslem
Pokud jste firemní uživatel, doporučujeme používat heslo, které chrání produkt ESET před změnou útočníkem. Zabráníte tak neautentizované úpravě nastavení, vypnutí ochrany nebo dokonce odinstalaci produktu ESET. Pokud používáte RDP, doporučujeme použít jiné heslo než to, které se používá pro přihlašovací údaje do RDP.
Více informací naleznete v jak chránit produkt ESET heslem.
Lze zašifrované soubory obnovit?
Moderní ransomware šifruje data pomocí asymetrických metod a několika typů šifrování. Stručně řečeno, soubory jsou zašifrovány veřejným klíčem a bez příslušného soukromého klíče je nelze dešifrovat. U současného ransomwaru se soukromý klíč nikdy nenachází na napadené pracovní stanici nebo v prostředí. To znamená, že data bude nutné obnovit z kvalitní zálohy vytvořené před infekcí.
Pokud nejsou k dispozici žádné zálohy, můžete se pokusit obnovit soubory ze stínových kopií. Můžete použít program Shadow Explorer, který si můžete stáhnout z následující webové stránky: http://www.shadowexplorer.com/downloads.html
Nezřídka se však stává, že infekce ransomwarem odstraní stínové kopie a zabrání tak obnovení souborů.
Jaké kroky byste měli podniknout, pokud jste infikováni ransomwarem?
-
Odpojte počítač od sítě.
-
Vyhledejte soubor TXT nebo HTML s pokyny k platbě, například "Jak dešifrovat" zašifrované sdílené složky/disky. Tento soubor může být použit našimi výzkumníky malwaru k další analýze.
