[KB3433] Osvědčené postupy ochrany před ransomware

Situace

Podrobnosti


Klikněte pro rozbalení

Ransomware je typ malware, který mohou útočníci využít na uzamčení zařízení nebo zašifrování jeho obsahu. Cílem je vymáhat od majitele daného zařízení peníze s příslibem obnovení přístupu k zablokovanému zařízení nebo datům po zaplacení požadované sumy. Součástí tohoto malware může být i časovač se stanovenou lhůtou splatnosti, kterou má obět dodržet, jinak se cena zvýší, případně se zařízení a jeho obsah natrvalo zablokuje.

Ransomware je škodlivý software, který šifruje osobní a datové soubory. Po infikování zařízení se ransomware následně pokusí zašifrovat i namapované sdílené disky. Může se tedy zdát, že se infiltrace šíři po síti, ačkoli tomu tak není.

Přetože vaše soubory mohou být zašifrované, systém nemusí být nutně infikovaný. K takovéto situaci může dojít tehdy, pokud je sdílený disk na souborovém serveru zašifrovaný, ale samotný server malware napadnutý není (pokud se nejedná o terminálový server).

Mezi známé druhy ransomware patří:


Řešení

Aktuální verze bezpečnostních produktů ESET využívají více vrstev technologií, aby dokázali zařízení chránit před ransomware.

Mezi tyto technologie patří například Pokročilá kontrola paměti, reputační systém ESET LiveGrid® a Exploit Blocker.

Nejnovější produkty ESET navíc poskytují vylepšený modul Ochrana před Botnet, který blokuje komunikaci mezi ransomware a řídícími (C&C) servery.

Obrázek 1-1

Ochrana před ransomware prostřednictvím produktů ESET


Všeobecné zásady ochrany před ransomware - minimalizování rizika útoku šifrovacího malware (ransomware)

  • Vytvářejte si zálohy systému

    Pravidelně si vytvářejte zálohy sytému, abyte svoje nejnovější data chránili před případným útokem, přičemž alespoň jednu novou zálohu uchovávejte v offline úložišti.

  • Uživatelská oprávnění a omezení práv

    Existuje mnoho druhů omezení, například omezení přístupu k datům aplikací, případně i předdefinovaná nastavení skupinové politiky (GPO – Group Policy Object).

    • Zakažte spouštění souborů z adresářů AppData a LocalAppData.

    • Zablokujte spouštění z podadresáře Temp (ve výchozím nastavení je součástí stromové struktury adresáře AppData).

    • Zablokujte spouštění spustitelných souborů z pracovních adresářů různých komprimačních nástrojů (například WinZip nebo 7-Zip).

      V produktech ESET Endpoint Security/Antivirus, ESET Mail Security a ESET Server Security můžete navíc vytvářet vlastní pravidla systému HIPS, na základě kterých bude ve vašem počítači umožněno spouštění jen vybraných aplikací, zatímco všechny ostatní aplikace budou blokované: [KB8018] Vytvoření pravidla HIPS a jeho vynucení na klientské pracovní stanici pomocí ESET PROTECT (8.x - 10.x).

  • Nevypínejte kontrolu uživatelských účtů (UAC)

    Neotevírejte přílohy, které se prezentují jako faktura, fax nebo potvrzení, pokud mají podezřelý název nebo jste jejich přijetí neočekávali.

    Co mohu udělat pro minimalizaci rizika malware útoku?

  • Používejte dvoufaktorové ověřování (2FA)

    Doporučujeme ESET Secure Authentication.

  • Obrana proti hrozbám

    Doporučujeme řešení ESET LiveGuard Advanced.

  • Zakažte makra v Microsoft Office prostřednictvím skupinové politiky

    Microsoft Office 2013/2016: upravte nastavení zabezpečení maker VBA

  • Udržujte svůj systém v aktuálním stavu

    Nejvyšší možnou ochranu svého počítače zajistíte tak, že budete operační systém a nainstalované aplikace udržovat aktualizované. Je důležité vždy nainstalovat nejnovější aktualizace s vysokou prioritou nabízené v nástroji Windows Update a pravidelně kontrolovat dostupnost nových aktualizací, případně zapnout funkci automatické aktualizace. Nové bezpečnostní aktualizace slouží pro záplatování zranitelnosti systému a snižují riziko napadení škodlivým software.

    Společnost Microsoft vydala bezpečnostní aktualizace pro současné operační systémy Windows, které zmírňují kritickou zranitelnost. Pokyny pro nasazení těchto aktualizací naleznete v bulletinu zabezpečení společnosti Microsoft MS17-010 - Critical.

  • Otevřené porty/služby, které mohou být potenciálně zneužité

    Pokud chcete zabránit útoku hrubou silou z neznámých IP adres, důrazně doporučujeme omezit přístup k SMB, SQL a RDP.

    1. SMB

      Uzavřete porty 135-139 a 445 pro sdílení souborů. Porty SMB by neměly být přístupné z internetu.

    2. SQL

      Povolte jen důvěryhodné IP adresy, které se mohou připojovat k SQL

    3. RDP

      • Zabraňte útokům hrubou silou (Brute Force Attack) na protokol RDP směrem z internetu tak, že zakážete RDP pro externí připojení. Pro připojení k vnitřní síti používejte VPN s dvoufaktorovým ověřováním (2FA).

      • Nastavte automatické zablokování účtu po určitém počtu neúspěšných pokusů. Přidejte též čekací lhůtu na automatické odemknutí po zablokování účtu.

      • Vynuťte používání silných hesel.

      • Zakažte nepoužívané běžné účty a výchozí účty, například správce, admin nebo root.

      • Povolte konkrétní uživatele a skupiny uživatelů, kteří se mohou přihlašovat přes RDP.

      • Povolte konkrétní IP adresy, ze kterých je možné se připojit přes RDP.

  • Remote Desktop Protocol (RDP) – jak se chránit před útoky

    Šifrovací malware se často dostává do cílových počítačů využitím protokolu RDP (protokol vzdálené pracovní plochy). Tento protokol systému Windows umožňuje jiným uživatelům získat vzdálený přístup do vašeho počítače. Útočník tak může zneužít RDP, aby deaktivoval ochranu a následně do počítače dostal malware.

    Doporučujeme vám vypnout RDP nebo změnit jeho nastavení. Pokud protokol RDP nepotřebujete využívat, můžete RDP úplně vypnout, abyste předešli útoku ransomware a jiným hrozbám, které se šíří prostřednictvám tohoto protokolu. Návod na vypnutí RDP naleznete v následujících článcích databáze znalostí společnosti Microsoft, které jsou rozdělené podle verze operačního systému Windows:

    Pokud máte zájem o více informací ohledně šíření malware prostřednictvím protokolu RDP, můžete si přečíst následující článek na našem bloguWeLiveSecurity (pouze v anglickém jazyce): Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

  • Ochrana nastavení produktu ESET heslem

    Pokud jste firemní uživatel, doporučujeme nastavit heslo na ochranu produktu ESET a jeho nastavení před útočníky. Zabráníte tak neoprávněné změně nastavení, vypnutí ochrany nebo dokonce odinstalování produktu ESET. Doporučujeme vám nastavit jiné heslo než to, které používáte pro připojení ke vzdálené pracovní ploše přes RDP.

    Informace o tom, jak chránit produkt ESET heslem, naleznete v článku naší databáze znalostí.


Lze obnovit zašifrované soubory?

Moderní ransomware šifruje data pomocí asymetrických metod a několika typů šifrování. Stručně řečeno, soubory jsou zašifrovány veřejným klíčem a bez příslušného soukromého klíče je nelze dešifrovat. U současného ransomware se soukromý klíč nikdy nenachází na napadené pracovní stanici nebo ve virtuálním zařízení. To znamená, že data je nutné obnovit ze zálohy, která byla vytvořená ještě předtím, než se infiltrace dostala do zařízení.

Pokud nejsou k dispozici žádné zálohy, můžete se pokusit obnovit soubory ze stínových kopií. Můžete použít program Shadow Explorer, který si můžete stáhnout z následující webové stránky: https://www.shadowexplorer.com/downloads.html

Není neobvyklé, že mnoho druhů ransomware odstraní i stínové kopie a zabrání tak obnovení souborů.

Jaké kroky byste měli podniknout, pokud jste infikováni ransomware?
  1. Odpojte počítač od sítě.

  2. Vyhledejte soubor ve formátu TXT nebo HTML s názvem „How to decrypt“ nebo podobným, který obsahuje podrobné instrukce, jak útočníkovi zaplatit za dešifrování vašich souborů. Tento soubor mohou naši experti na malware následně podrobit analýze.

  3. Na napadeném počítači spusťte nástroj ESET SysRescue. Obnovu systému ze zálohy proveďte až po identifikaci a odstranění hrozby z počítače (přečtěte si část Vytvářejte si zálohy systému).

  4. Kontaktujte technickou podporu společnosti ESET