Obsah
- Při konfiguraci systému na ochranu před malwarem ransomware je třeba použít osvědčené postupy
- Obecné doporučené postupy pro boj s ransomwarem v produktech ESET
- Obecné postupy proti ransomwaru
- Obnovení zašifrovaných souborů
Podrobnosti
Kliknutím rozbalte
Ransomware je škodlivý software, který dokáže zablokovat zařízení nebo zašifrovat jeho obsah a vymáhat od majitele peníze výměnou za obnovení přístupu k těmto prostředkům. Tento druh malwaru může mít také zabudovaný časovač s termínem platby, který je třeba dodržet; jinak cena za odblokování dat a hardwaru poroste, nebo budou informace a zařízení nakonec trvale znepřístupněny.
Ransomware je infekce, která šifruje osobní a datové soubory. Obvykle je infikována pracovní stanice a poté se ransomware pokusí zašifrovat všechny mapované sdílené jednotky. Díky tomu se může zdát, že se infekce šíří po síti, i když tomu tak není.
Vaše soubory mohou být zašifrované, ale systém nemusí být infikovaný. To je možné, pokud je sdílená jednotka na souborovém serveru zašifrovaná, ale samotný server neobsahuje infekci malwarem (pokud se nejedná o terminálový server).
Dalšími známými příklady ransomwaru jsou:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) nebo infekce "Win32/Filecoder.Locky.A" po otevření e-mailu z neznámého zdroje nebo souborů ZIP z takového e-mailu
- "CryptoLocker", "Cryptowall", "Dirty decrypt" a "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Řešení
Současné verze produktů ESET využívají k ochraně počítačů před ransomwarem více vrstev technologií.
Mezi tyto technologie patří například Advanced Memory Scanner, ESET LiveGrid® Reputation System a Exploit Blocker.
Nejnovější produkty ESET navíc poskytují vylepšený modul Botnet Protection, který blokuje komunikaci mezi ransomwarem a servery Command and Control (C&C).
Obecné doporučené postupy pro boj s ransomwarem v produktech ESET
- Povolení detekce potenciálně nežádoucích aplikací (PUA)
Podle pokynů v odkazovaném článku odhalte nežádoucí, nebezpečné a podezřelé aplikace, například nástroje RMM (vzdálené monitorování a správa), zranitelné ovladače, síťové skenery a další software, který může představovat bezpečnostní riziko pro váš systém. Ačkoli tyto nástroje mohou být důvěryhodné, podepsané a legitimní, dokonce i vestavěné systémové nástroje, útočníci je hojně zneužívají při vniknutí ransomwaru. Další informace o potenciálně nežádoucích aplikacích a potenciálně nežádoucím obsahu.
-
Ponechejte zapnuté funkce Advanced Memory Scanner a Exploit Blocker
Tyto dvě funkce jsou v produktech ESET od verze 5 standardně povoleny. Tyto nově navržené algoritmy společnosti ESET posilují ochranu proti malwaru, který byl navržen tak, aby se vyhnul detekci antimalwarovými produkty pomocí obfuskace a/nebo šifrování.
Advanced Memory Scanner vyhledává podezřelé chování po dekódování malwaru v paměti a Exploit Blocker posiluje ochranu proti cíleným útokům a dosud neviděným zranitelnostem, známým také jako zranitelnosti nultého dne.
Pro maximální ochranu doporučujeme aktualizovat produkty ESET na nejnovější verzi:
-
Domácí uživatelé: Který produkt ESET mám a zda je to nejnovější verze? (Domácí uživatelé) -
Firemní uživatelé: Mám nejnovější verzi firemních produktů ESET?
-
-
Mějte zapnutý ESET LiveGrid
Systém ochrany před škodlivým softwarem ESET Cloud je založen na ESET LiveGrid. Monitoruje neznámé a potenciálně škodlivé aplikace a vzorky podrobuje automatickému sandboxingu a analýze chování.
Ujistěte se, že ESET LiveGrid® reputace a systém zpětné vazby ESET LiveGrid® je v produktu ESET povolen a funguje.
-
Udržujte ESET aktualizovaný
Nové varianty stávajícího ransomwaru jsou vydávány často, proto je důležité, abyste pravidelně dostávali aktualizace virové databáze (váš produkt ESET bude kontrolovat aktualizace každou hodinu, pokud máte platné předplatné a funkční internetové připojení).
-
Uživatelé virtuálních počítačů
Pro nejlepší ochranu před ransomwarem doporučujeme ve virtuálních prostředích používat ESET Endpoint Security.
-
Ujistěte se, že máte povolený Ransomware Shield
Ransomware Shield jako součást technologie Self-Defense je další vrstvou ochrany, která funguje jako součást funkce HIPS. Více informací naleznete v článku Ransomware Shield v ESET Glosáři a jeho konfigurace v produktech ESET.
-
Konfigurace dalších nastavení ochrany proti ransomwaru v produktech ESET pro firmy ručně nebo pomocí ESET PROTECT On-Prem/ESET PROTECT Policy
-
Oznámení
Obecné osvědčené postupy proti ransomwaru — Minimalizujte riziko škodlivého softwaru založeného na šifrování (ransomwaru)
-
Naplánujte si pravidelné zálohování systému a alespoň jednu takovou zálohu uchovávejte v offline úložišti, abyste před útokem ochránili svou nejnovější práci.
-
Oprávnění uživatelů a omezení práv
Existuje mnoho typů omezení, například omezení přístupu k datům aplikací, a dokonce i některá, která jsou předem vytvořena jako objekt zásad skupiny (GPO).
-
Zakázat soubory spouštěné ze složek AppData a LocalAppData.
-
Blokování spouštění z podadresáře Temp (ve výchozím nastavení je součástí stromu AppData).
-
Blokování spustitelných souborů spouštěných z pracovních adresářů různých dekompresních nástrojů (například WinZip nebo 7-Zip).
V ESET Endpoint Security/Antivirus, ESET Mail Security a ESET File Security můžete navíc vytvořit pravidla HIPS, která povolí spouštění pouze určitých aplikací v počítači a všechny ostatní budou standardně blokovány: Vytvoření pravidla HIPS a jeho vynucení na klientské pracovní stanici pomocí ESET PROTECT On-Prem.
-
-
Nevypínejte Řízení uživatelských účtů (UAC)
Neotvírejte přílohy, které se vydávají za fax, fakturu nebo potvrzení, pokud mají podezřelý název nebo jste jejich přijetí neočekávali.
-
Použití dvoufaktorového ověřování (2FA)
Doporučujeme ESET Secure Authentication.
-
Obrana proti hrozbám
Doporučujeme ESET LiveGuard Advanced.
-
Zakázání maker v Microsoft Office pomocí zásad skupiny
Office 2013/2016 (následující odkaz je pro rok 2013, ale stejné nastavení platí i pro rok 2016): Plánování nastavení zabezpečení maker VBA pro Office
-
Udržujte svůj systém aktuální
Chcete-li zajistit nejlepší dostupnou ochranu, aktualizujte operační systém a aplikace. Nainstalujte nejnovější aktualizace s vysokou prioritou nabízené v nástroji Windows Update a pravidelně je kontrolujte nebo zapněte funkci Automatické aktualizace. Nové aktualizace zabezpečení opravují zranitelnosti systému a snižují riziko útoků malwaru.
-
Potenciální porty/služby, které by mohly být zneužity, pokud by zůstaly otevřené
Chcete-li zabránit úspěšným útokům hrubou silou z neznámé IP adresy, důrazně doporučujeme uzamknout protokoly SMB, SQL a RDP.
-
SMB
Zavřete porty 135-139 a 445 pro sdílení souborů. Porty SMB by neměly být vystaveny internetu.
-
SQL
Bílá listina důvěryhodných IP adres, které se mohou připojit k SQL
-
RDP
-
Zastavení útoků Brute Force na RDP zvenčí uzavřením RDP pro externí připojení. Pro připojení k interní síti použijte VPN s dvoufaktorovým ověřováním.
-
Nastavení automatického zablokování účtu po určitém počtu neúspěšných pokusů. Zahrnout čekací dobu pro automatické odemknutí po zablokování účtu.
-
Zavedení silných hesel
-
Zakázat běžné nepoužívané a výchozí účty, například administrátor, správce nebo root
-
Vytvoření bílé listiny konkrétních uživatelů a skupin pro přihlášení pomocí protokolu RDP
-
Vytvoření bílé listiny konkrétních IP adres pro povolení připojení RDP
-
-
-
Nejlepší postupy protokolu vzdálené plochy proti útokům
Škodlivý software založený na šifrování často přistupuje k cílovým počítačům pomocí nástroje RDP (Remote Desktop Protocol) integrovaného v systému Windows. Protokol RDP umožňuje ostatním připojit se k systému na dálku, takže útočník může zneužít protokol RDP k odstranění ochrany a následnému nasazení malwaru.
Doporučujeme zakázat nebo změnit protokol Vzdálená plocha. Pokud nevyžadujete používání protokolu RDP, můžete změnit výchozí port (3389) nebo zakázat protokol RDP a ochránit tak počítač před ransomwarem a dalšími útoky na protokol RDP. Pokyny k zakázání protokolu RDP naleznete v příslušném článku znalostní báze společnosti Microsoft níže:
Další informace o protokolu RDP naleznete v následujícím článku WeLiveSecurity: Hacking vzdálené plochy (RDP) 101: Odtud vidím tvou plochu!
-
Ochrana nastavení produktu ESET heslem
Pokud jste firemní uživatel, doporučujeme používat heslo, které chrání produkt ESET před změnou útočníkem. Tím se zabrání neautentizované úpravě nastavení, vypnutí ochrany nebo dokonce odinstalování produktu ESET. Pokud používáte protokol RDP, doporučujeme použít jiné heslo než to, které se používá pro přihlašovací údaje do protokolu RDP.
Více informací naleznete na , jak chránit produkt ESET pomocí hesla.
Lze zašifrované soubory obnovit?
Moderní ransomware šifruje data pomocí asymetrických metod a několika typů šifrování. Stručně řečeno, soubory jsou zašifrovány veřejným klíčem a bez příslušného soukromého klíče je nelze dešifrovat. V případě současného ransomwaru se soukromý klíč nikdy nenachází v napadené pracovní stanici nebo prostředí. To znamená, že data bude nutné obnovit z kvalitní zálohy vytvořené před infekcí.
Pokud nejsou k dispozici žádné zálohy, můžete se pokusit obnovit soubory ze stínových kopií. Můžete použít program Shadow Explorer, který si můžete stáhnout z následující webové stránky: http://www.shadowexplorer.com/downloads.html
Nezřídka se však stává, že ransomware odstraní stínové kopie a zabrání tak obnovení souborů.
Jaké kroky byste měli podniknout, pokud jste infikováni ransomwarem?
-
Odpojte počítač od sítě.
-
Vyhledejte soubor TXT nebo HTML s pokyny k platbě, například "Jak dešifrovat" sdílené složky/zašifrované disky. Tyto údaje mohou být použity našimi výzkumníky malwaru k další analýze.
-
Kontaktujte svého místního partnera společnosti ESET pro podporu.
