Ausgabe
- Sie möchten Ihr System zum Schutz vor Ransomware-Malware mit den bewährten Methoden konfigurieren
- Allgemeine Anti-Ransomware-Praktiken für ESET-Anwendungen
- Allgemeine Anti-Ransomware-Praktiken
- Wiederherstellen verschlüsselter Dateien
Einzelheiten
Klicken zum Erweitern
Ransomware ist Malware, die ein Gerät sperren oder dessen Inhalt verschlüsseln kann, um vom Besitzer Geld für die Wiederherstellung des Zugriffs auf diese Ressourcen zu erpressen. Diese Art von Malware kann auch einen eingebauten Timer mit einer Zahlungsfrist enthalten, die eingehalten werden muss; andernfalls erhöht sich der Preis für die Freigabe der Daten und der Hardware, oder die Informationen und das Gerät werden schließlich dauerhaft unzugänglich gemacht.
Ransomware ist eine Infektion, die persönliche Dateien und Daten verschlüsselt. In der Regel wird eine Workstation infiziert, und die Ransomware versucht dann, alle zugeordneten gemeinsamen Laufwerke zu verschlüsseln. Dies kann den Anschein erwecken, dass sich die Infektion über Ihr Netzwerk ausbreitet, obwohl dies nicht der Fall ist.
Während Ihre Dateien verschlüsselt sein können, ist Ihr System möglicherweise nicht infiziert. Dies ist möglich, wenn ein gemeinsam genutztes Laufwerk auf einem Dateiserver verschlüsselt ist, der Server selbst aber nicht mit der Malware infiziert ist (es sei denn, es handelt sich um einen Terminalserver).
Andere Beispiele für bekannte Ransomware sind:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) oder "Win32/Filecoder.Locky.A" Infektion nach dem Öffnen einer E-Mail von einer unbekannten Quelle oder ZIP-Dateien aus einer solchen E-Mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" und "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Lösung
Die aktuellen Versionen der ESET-Anwendungen nutzen mehrere Technologieebenen, um Computer vor Ransomware zu schützen.
Beispiele für diese Technologien sind Advanced Memory Scanner, ESET LiveGrid® Reputation System und Exploit Blocker.
Darüber hinaus bieten die neuesten ESET-Anwendungen ein erweitertes Botnet-Schutzmodul, das die Kommunikation zwischen Ransomware und Command and Control (C&C)-Servern blockiert.
Allgemeine Anti-Ransomware-Best-Practices für ESET-Anwendungen
- Aktivieren Sie die Erkennung von PUA (Potentiell Unerwünschte Anwendungen)
Folgen Sie den Anweisungen im verlinkten Artikel, um unerwünschte, unsichere und verdächtige Anwendungen zu erkennen, wie z. B. RMM-Tools (Remote Monitoring and Management), anfällige Treiber, Netzwerkscanner und andere Software, die ein Sicherheitsrisiko für Ihr System darstellen können. Obwohl diese Tools vertrauenswürdig, signiert und legitim sein können, sogar als integrierte Systemdienstprogramme, werden sie von Angreifern bei Ransomware-Eingriffen häufig missbraucht. Weitere Informationen über potenziell unerwünschte Anwendungen und potenziell unerwünschte Inhalte.
-
Lassen Sie Advanced Memory Scanner und Exploit Blocker aktiviert
Diese neu entwickelten ESET-Algorithmen verstärken den Schutz vor Malware, die entwickelt wurde, um die Erkennung durch Anti-Malware-Produkte durch Verschleierung und/oder Verschlüsselung zu umgehen.
Advanced Memory Scanner sucht nach verdächtigem Verhalten, nachdem sich Malware im Speicher enttarnt hat, und Exploit Blocker verstärkt den Schutz vor gezielten Angriffen und bisher unbekannten Schwachstellen, auch bekannt als Zero-Day-Schwachstellen.
Um maximalen Schutz zu gewährleisten, empfehlen wir Ihnen, Ihre ESET-Anwendungen auf die neueste Version zu aktualisieren:
-
Halten Sie ESET LiveGrid® aktiviert
Das ESET Cloud Malware Protection System basiert auf ESET LiveGrid®. Es überwacht unbekannte und potenziell bösartige Anwendungen und unterzieht Proben einer automatischen Sandboxing- und Verhaltensanalyse.
Stellen Sie sicher, dass ESET LiveGrid® Reputation und ESET LiveGrid® Feedback System aktiviert ist und funktioniert in Ihrem ESET Produkt.
-
Halten Sie ESET auf dem neuesten Stand
Neue Varianten bestehender Ransomware werden häufig veröffentlicht, daher ist es wichtig, dass Sie regelmäßig Updates der Virendatenbank erhalten (Ihre ESET-Anwendung sucht stündlich nach Updates, vorausgesetzt, Sie haben ein gültiges Abonnement und eine funktionierende Internetverbindung).
-
Benutzer von virtuellen Maschinen
Für den besten Schutz vor Ransomware-Malware empfehlen wir die Verwendung von ESET Endpoint Security für Windows in virtuellen Umgebungen.
-
Stellen Sie sicher, dass Sie Ransomware Shield aktiviert haben
Ransomware Shield ist als Teil der Self-Defense-Technologie eine weitere Schutzebene, die als Teil der HIPS-Funktion arbeitet. Weitere Informationen finden Sie unter Ransomware-Schutz im ESET-Glossar und wie Sie ihn in ESET-Anwendungen konfigurieren können.
-
Konfigurieren Sie zusätzliche Einstellungen zum Schutz vor Ransomware in ESET Business Produkten manuell oder mit ESET PROTECT On-Prem/ESET PROTECT Policy
-
Benachrichtigungen
Minimieren Sie Ihr Risiko durch verschlüsselungsbasierte Malware (Ransomware)
-
Erstellen Sie Backups von Ihrem System
Planen Sie, Ihr System regelmäßig zu sichern, und bewahren Sie mindestens ein Backup im Offline-Speicher auf, um Ihre neuesten Arbeiten vor einem Angriff zu schützen.
-
Benutzerberechtigungen und Einschränkung von Rechten
Es gibt viele Arten von Einschränkungen, z. B. die Einschränkung des Zugriffs auf Anwendungsdaten und sogar einige, die als Gruppenrichtlinienobjekt (GPO) vordefiniert sind.
- Deaktivieren Sie die Ausführung von Dateien aus den Ordnern AppData und LocalAppData.
- Blockieren Sie die Ausführung aus dem Unterverzeichnis Temp (standardmäßig Teil der AppData-Struktur).
- Blockieren Sie die Ausführung von Dateien, die aus den Arbeitsverzeichnissen verschiedener Dekomprimierungsprogramme (z. B. WinZip oder 7-Zip) ausgeführt werden.
- Zusätzlich können Sie in ESET Endpoint Security für Windows, ESET Mail Security für Microsoft Exchange Server und ESET Server Security für Microsoft Windows Server HIPS-Regeln erstellen, um nur bestimmte Anwendungen auf dem Computer zuzulassen und alle anderen standardmäßig zu blockieren: Erstellen Sie eine HIPS-Regel und setzen Sie sie mit ESET PROTECT On-Prem auf einer Client-Workstation durch.
-
Deaktivieren Sie nicht die Benutzerkontensteuerung (UAC)
Öffnen Sie keine Anhänge, die vorgeben, ein Fax, eine Rechnung oder eine Quittung zu sein, wenn sie einen verdächtigen Namen tragen oder Sie den Erhalt nicht erwartet haben.
-
Verwenden Sie Zwei-Faktor-Authentifizierung (2FA)
Wir empfehlen ESET Secure Authentication, das als Cloud- oder On-Premises-Komponente verwendet werden kann. Weitere Informationen finden Sie in der Online-Hilfe von ESET .
-
Bedrohungsabwehr
Wir empfehlen ESET LiveGuard Advanced.
-
Deaktivieren von Makros (VBA) in Microsoft Office über Gruppenrichtlinien
Microsoft Office 2019 und frühere Versionen: Sicherheitseinstellungen für VBA-Makros in Office planen
Microsoft Office 365 verwendet den Office Cloud Policy Service (OCPS), um Richtlinien durchzusetzen, die die Ausführung von Makros in Office-Dateien aus dem Internet blockieren.
-
Halten Sie Ihr System auf dem neuesten Stand
Um den bestmöglichen Schutz zu gewährleisten, sollten Sie Ihr Betriebssystem und Ihre Anwendungen auf dem neuesten Stand halten. Installieren Sie die neuesten Updates mit hoher Priorität, die im Windows Update-Tool angeboten werden, und prüfen Sie regelmäßig oder aktivieren Sie die Funktion für automatische Updates. Neue Sicherheitsupdates schließen die Systemschwachstellen und verringern das Risiko von Malware-Angriffen.
-
Potenzielle Ports/Dienste, die ausgenutzt werden können, wenn sie offen bleiben
Um zu verhindern, dass unbekannte IP-Adressen erfolgreiche Brute-Force-Angriffe durchführen können, empfehlen wir dringend, SMB, SQL und RDP zu sperren.
Dienst Empfehlungen SMB Schließen Sie die Dateifreigabe-Ports 135-139 und 445. SMB-Ports sollten nicht für das Internet zugänglich sein. SQL Stellen Sie eine Whitelist mit vertrauenswürdigen IP-Adressen auf, die eine Verbindung zu SQL herstellen dürfen. RDP Stoppen Sie externe RDP Brute-Force-Angriffe, indem Sie RDP für externe Verbindungen sperren. Verwenden Sie ein VPN mit Zwei-Faktor-Authentifizierung, um sich mit dem internen Netzwerk zu verbinden.Legen Sie automatische Kontosperrungen nach einer bestimmten Anzahl von Fehlversuchen fest, mit einer Wartezeit vor der Entsperrung.Erzwingen Sie sichere Passwörter.Deaktivieren Sie ungenutzte oder Standardkonten (Administrator, Admin, Root).Aufnahme bestimmter Benutzer und Gruppen in die Whitelist für die RDP-Anmeldung.Setzen Sie bestimmte IP-Adressen auf die Whitelist, um eine RDP-Verbindung zu ermöglichen. -
Bewährte Praktiken zum Schutz vor Angriffen auf das Remote Desktop Protocol
Verschlüsselungsbasierte Malware greift häufig über das in Windows integrierte Remote Desktop Protocol (RDP) auf Zielcomputer zu. RDP ermöglicht es anderen, sich aus der Ferne mit Ihrem System zu verbinden, so dass der Angreifer RDP missbrauchen kann, um den Schutz zu entfernen und dann die Malware zu installieren.
Wir empfehlen Ihnen, das Remote Desktop Protocol zu deaktivieren oder zu ändern. Wenn Sie die Verwendung von RDP nicht benötigen, können Sie den Standardport (3389) ändern oder RDP deaktivieren, um Ihren Computer vor Ransomware und anderen RDP-Exploits zu schützen. Anleitungen zur Deaktivierung von RDP finden Sie in dem entsprechenden Artikel der Microsoft Knowledgebase unten:
Weitere Informationen zu RDP finden Sie in dem folgenden WeLiveSecurity-Artikel: Absicherung von RDP und Fernzugriff.
-
Schützen Sie Ihre ESET-Anwendungseinstellungen mit einem Passwort
Wenn Sie ein geschäftlicher Nutzer sind, empfehlen wir Ihnen, die ESET-Anwendung mit einem Passwort vor unbefugten Änderungen durch einen Angreifer zu schützen. Dies verhindert, dass unautorisierte Einstellungen geändert, der Schutz deaktiviert oder sogar das ESET-Produkt deinstalliert wird. Wenn Sie RDP verwenden, empfehlen wir Ihnen, ein anderes Passwort als das für die RDP-Anmeldedaten zu verwenden.
Weitere Informationen finden Sie unter wie Sie Ihre ESET-Anwendung mit einem Passwort schützen.
Können verschlüsselte Dateien wiederhergestellt werden?
Moderne Ransomware verschlüsselt die Daten mit asymmetrischer Verschlüsselung und mehreren Verschlüsselungsalgorithmen. Kurz gesagt, Dateien werden mit einem öffentlichen Schlüssel verschlüsselt und können ohne den zugehörigen privaten Schlüssel nicht entschlüsselt werden. Bei aktueller Ransomware befindet sich der private Schlüssel nie auf der betroffenen Workstation oder Umgebung. Das bedeutet, dass die Daten von einem guten Backup, das vor der Infektion erstellt wurde, wiederhergestellt werden müssen.
Wenn keine Sicherungskopien verfügbar sind, können Sie versuchen, Dateien aus Schattenkopien wiederherzustellen. Shadow Explorer herunterladen.
Es ist jedoch nicht ungewöhnlich, dass Ransomware-Infektionen Schattenkopien löschen, um die Wiederherstellung von Dateien zu verhindern.
Welche Schritte sollten Sie unternehmen, wenn Sie mit Ransomware infiziert sind?
-
Trennen Sie den Computer vom Netzwerk.
-
Suchen Sie die TXT- oder HTML-Datei mit den Zahlungsanweisungen, z. B. "How to decrypt" (So entschlüsseln Sie die verschlüsselten freigegebenen Ordner/Laufwerke). die Malware-Forscher können diese für weitere Analysen verwenden.
-
Wenden Sie sich an Ihren ESET-Partner vor Ort für Unterstützung.
