Situace
- Potřebujete si nastavit systém v souladu s osvědčenými postupy ochrany před ransomware
- Ochrana před ransomware prostřednictvím produktů ESET
- Všeobecné postupy proti ransomware
- Obnova zašifrovaných souborů
Podrobnosti
Klikněte pro rozbalení
Ransomware je typ malware, který mohou útočníci využít na uzamčení zařízení nebo zašifrování jeho obsahu. Cílem je vymáhat od majitele daného zařízení peníze s příslibem obnovení přístupu k zablokovanému zařízení nebo datům po zaplacení požadované sumy. Součástí tohoto malware může být i časovač se stanovenou lhůtou splatnosti, kterou má obět dodržet, jinak se cena zvýší, případně se zařízení a jeho obsah natrvalo zablokuje.
Ransomware je škodlivý software, který šifruje osobní a datové soubory. Po infikování zařízení se ransomware následně pokusí zašifrovat i namapované sdílené disky. Může se tedy zdát, že se infiltrace šíři po síti, ačkoli tomu tak není.
Přetože vaše soubory mohou být zašifrované, systém nemusí být nutně infikovaný. K takovéto situaci může dojít tehdy, pokud je sdílený disk na souborovém serveru zašifrovaný, ale samotný server malware napadnutý není (pokud se nejedná o terminálový server).
Mezi známé druhy ransomware patří:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) nebo Win32/Filecoder.Locky.A – infikují počítač po otevření e-mailové zprávy od neznámého odesílatele, případně souboru .zip v příloze takové zprávy
- "CryptoLocker", "Cryptowall", "Dirty decrypt" a "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Řešení
Aktuální verze bezpečnostních produktů ESET využívají více vrstev technologií, aby dokázali zařízení chránit před ransomware.
Mezi tyto technologie patří například Pokročilá kontrola paměti, reputační systém ESET LiveGrid® a Exploit Blocker.
Nejnovější produkty ESET navíc poskytují vylepšený modul Ochrana před Botnet, který blokuje komunikaci mezi ransomware a řídícími (C&C) servery.
Ochrana před ransomware prostřednictvím produktů ESET
-
Ponechejte zapnuté funkce Exploit Blocker a Pokročilá ochrana paměti
Tyto dvě funkce jsou v produktech ESET od verze 5 standardně zapnuté. Algoritmy vyvinuté společností ESET poskytují zvýšenou ochranu před malware, který byl navržen tak, aby se pomocí maskování a šifrování vyhýbal detekci bezpečnostních produktů.
Pokročilá ochrana paměti detekuje jakékoli podezřelé chování a procesy probíhající po tom, jak v paměti dojde k odkrytí malware. Technologie Exploit Blocker posiluje ochranu proti cíleným útokům a nově vznikajícími zranitelnostmi, tzv. zero-day hrozbami.
Pro maximální ochranu doporučujeme aktualizovat produkty ESET na nejnovější verzi:
-
domácí uživatelé: Zjistěte, jakou verzi produktu ESET máte nainstalovanou
-
firemní uživatelé: Zjistěte, jakou verzi produktu ESET máte nainstalovanou
-
-
Mějte zapnutý ESET LiveGrid
Cloudový systém ochrany před malware vyvinutý společností ESET Cloud je založený na technologii ESET LiveGrid. Monitoruje neznámé a potenciálně škodlivé aplikace a posílá vzorky na analýzu do cloudového systému společnosti ESET.
Ujistěte se, že systém reputace a zpětné vazby ESET LiveGrid® je ve vašem produktu ESET zapnutý a aktivní.
-
Udržujte ESET aktualizovaný
Nové varianty stávajícího ransomwaru jsou vydávány často, proto je důležité, abyste pravidelně dostávali aktualizace virové databáze (váš produkt ESET bude kontrolovat aktualizace každou hodinu za předpokladu, že máte platnou licenci a funkční internetové připojení).
-
domácí uživatelé: Zjistěte, zda je váš produkt ESET aktuální
-
firemní uživatelé: Zjistěte, zda je váš produkt ESET aktuální
-
-
Chraňte virtuální počítače
Pro zajištění ochrany před ransomware ve virtuálních prostředích doporučujume používat řešení ESET Endpoint Security.
-
Ujistěte se, že máte zapnutý Ransomware Shield
Ransomware Shield (štít) jako součást technologie Self-Defense je další vrstva ochrany, která pracuje v rámci systému HIPS. Více informací o funkci Ransomware shield naleznete ve slovníku pojmů společností ESET a o její konfiguraci v produktech ESET se dočtete na stránkách Online nápovědy
-
Nakonfigurujte další nastavení ochrany proti ransomware ve firemních produktech ESET manuálně nebo pomocí politik v ESET PROTECT/ESET PROTECT Cloud
-
Oznámení
Všeobecné zásady ochrany před ransomware - minimalizování rizika útoku šifrovacího malware (ransomware)
-
Pravidelně si vytvářejte zálohy sytému, abyte svoje nejnovější data chránili před případným útokem, přičemž alespoň jednu novou zálohu uchovávejte v offline úložišti.
-
Uživatelská oprávnění a omezení práv
Existuje mnoho druhů omezení, například omezení přístupu k datům aplikací, případně i předdefinovaná nastavení skupinové politiky (GPO – Group Policy Object).
-
Zakažte spouštění souborů z adresářů AppData a LocalAppData.
-
Zablokujte spouštění z podadresáře Temp (ve výchozím nastavení je součástí stromové struktury adresáře AppData).
-
Zablokujte spouštění spustitelných souborů z pracovních adresářů různých komprimačních nástrojů (například WinZip nebo 7-Zip).
V produktech ESET Endpoint Security/Antivirus, ESET Mail Security a ESET Server Security můžete navíc vytvářet vlastní pravidla systému HIPS, na základě kterých bude ve vašem počítači umožněno spouštění jen vybraných aplikací, zatímco všechny ostatní aplikace budou blokované: [KB8018] Vytvoření pravidla HIPS a jeho vynucení na klientské pracovní stanici pomocí ESET PROTECT (8.x - 10.x).
-
-
Nevypínejte kontrolu uživatelských účtů (UAC)
Neotevírejte přílohy, které se prezentují jako faktura, fax nebo potvrzení, pokud mají podezřelý název nebo jste jejich přijetí neočekávali.
-
Používejte dvoufaktorové ověřování (2FA)
Doporučujeme ESET Secure Authentication.
-
Obrana proti hrozbám
Doporučujeme řešení ESET LiveGuard Advanced.
-
Zakažte makra v Microsoft Office prostřednictvím skupinové politiky
Microsoft Office 2013/2016: upravte nastavení zabezpečení maker VBA
-
Udržujte svůj systém v aktuálním stavu
Nejvyšší možnou ochranu svého počítače zajistíte tak, že budete operační systém a nainstalované aplikace udržovat aktualizované. Je důležité vždy nainstalovat nejnovější aktualizace s vysokou prioritou nabízené v nástroji Windows Update a pravidelně kontrolovat dostupnost nových aktualizací, případně zapnout funkci automatické aktualizace. Nové bezpečnostní aktualizace slouží pro záplatování zranitelnosti systému a snižují riziko napadení škodlivým software.
Společnost Microsoft vydala bezpečnostní aktualizace pro současné operační systémy Windows, které zmírňují kritickou zranitelnost. Pokyny pro nasazení těchto aktualizací naleznete v bulletinu zabezpečení společnosti Microsoft MS17-010 - Critical.
-
Otevřené porty/služby, které mohou být potenciálně zneužité
Pokud chcete zabránit útoku hrubou silou z neznámých IP adres, důrazně doporučujeme omezit přístup k SMB, SQL a RDP.
-
SMB
Uzavřete porty 135-139 a 445 pro sdílení souborů. Porty SMB by neměly být přístupné z internetu.
-
SQL
Povolte jen důvěryhodné IP adresy, které se mohou připojovat k SQL
-
RDP
-
Zabraňte útokům hrubou silou (Brute Force Attack) na protokol RDP směrem z internetu tak, že zakážete RDP pro externí připojení. Pro připojení k vnitřní síti používejte VPN s dvoufaktorovým ověřováním (2FA).
-
Nastavte automatické zablokování účtu po určitém počtu neúspěšných pokusů. Přidejte též čekací lhůtu na automatické odemknutí po zablokování účtu.
-
Vynuťte používání silných hesel.
-
Zakažte nepoužívané běžné účty a výchozí účty, například správce, admin nebo root.
-
Povolte konkrétní uživatele a skupiny uživatelů, kteří se mohou přihlašovat přes RDP.
-
Povolte konkrétní IP adresy, ze kterých je možné se připojit přes RDP.
-
-
-
Remote Desktop Protocol (RDP) – jak se chránit před útoky
Šifrovací malware se často dostává do cílových počítačů využitím protokolu RDP (protokol vzdálené pracovní plochy). Tento protokol systému Windows umožňuje jiným uživatelům získat vzdálený přístup do vašeho počítače. Útočník tak může zneužít RDP, aby deaktivoval ochranu a následně do počítače dostal malware.
Doporučujeme vám vypnout RDP nebo změnit jeho nastavení. Pokud protokol RDP nepotřebujete využívat, můžete RDP úplně vypnout, abyste předešli útoku ransomware a jiným hrozbám, které se šíří prostřednictvám tohoto protokolu. Návod na vypnutí RDP naleznete v následujících článcích databáze znalostí společnosti Microsoft, které jsou rozdělené podle verze operačního systému Windows:
Pokud máte zájem o více informací ohledně šíření malware prostřednictvím protokolu RDP, můžete si přečíst následující článek na našem bloguWeLiveSecurity (pouze v anglickém jazyce): Remote Desktop (RDP) Hacking 101: I can see your desktop from here!
-
Ochrana nastavení produktu ESET heslem
Pokud jste firemní uživatel, doporučujeme nastavit heslo na ochranu produktu ESET a jeho nastavení před útočníky. Zabráníte tak neoprávněné změně nastavení, vypnutí ochrany nebo dokonce odinstalování produktu ESET. Doporučujeme vám nastavit jiné heslo než to, které používáte pro připojení ke vzdálené pracovní ploše přes RDP.
Informace o tom, jak chránit produkt ESET heslem, naleznete v článku naší databáze znalostí.
Lze obnovit zašifrované soubory?
Moderní ransomware šifruje data pomocí asymetrických metod a několika typů šifrování. Stručně řečeno, soubory jsou zašifrovány veřejným klíčem a bez příslušného soukromého klíče je nelze dešifrovat. U současného ransomware se soukromý klíč nikdy nenachází na napadené pracovní stanici nebo ve virtuálním zařízení. To znamená, že data je nutné obnovit ze zálohy, která byla vytvořená ještě předtím, než se infiltrace dostala do zařízení.
Pokud nejsou k dispozici žádné zálohy, můžete se pokusit obnovit soubory ze stínových kopií. Můžete použít program Shadow Explorer, který si můžete stáhnout z následující webové stránky: https://www.shadowexplorer.com/downloads.html
Není neobvyklé, že mnoho druhů ransomware odstraní i stínové kopie a zabrání tak obnovení souborů.
Jaké kroky byste měli podniknout, pokud jste infikováni ransomware?
-
Odpojte počítač od sítě.
-
Vyhledejte soubor ve formátu TXT nebo HTML s názvem „How to decrypt“ nebo podobným, který obsahuje podrobné instrukce, jak útočníkovi zaplatit za dešifrování vašich souborů. Tento soubor mohou naši experti na malware následně podrobit analýze.
-
Na napadeném počítači spusťte nástroj ESET SysRescue. Obnovu systému ze zálohy proveďte až po identifikaci a odstranění hrozby z počítače (přečtěte si část Vytvářejte si zálohy systému).