Problemstilling
- Du vil bruge de bedste fremgangsmåder til at konfigurere dit system til at beskytte mod ransomware-malware
- Generelle ESET-applikationers bedste praksis for anti-ransomware
- Generel praksis for anti-ransomware
- Gendannelse af krypterede filer
Detaljer om problemet
Klik for at udvide
Ransomware er malware, der kan låse en enhed eller kryptere dens indhold for at afpresse penge fra ejeren til gengæld for at genoprette adgangen til disse ressourcer. Denne form for malware kan også indeholde en indbygget timer med en betalingsfrist, der skal overholdes; ellers vil prisen for at låse data og hardware op stige, eller oplysningerne og enheden vil i sidste ende blive gjort permanent utilgængelige.
Ransomware er en infektion, der krypterer personlige filer og datafiler. Typisk bliver en arbejdsstation inficeret, og derefter vil ransomwaren forsøge at kryptere alle kortlagte, delte drev. Det kan få infektionen til at se ud, som om den spreder sig gennem dit netværk, selv om den ikke gør det.
Selvom dine filer kan være krypterede, er dit system måske ikke inficeret. Det er muligt, når et delt drev på en filserver er krypteret, men selve serveren ikke indeholder malware-infektionen (medmindre det er en terminalserver).
Andre eksempler på kendt ransomware er:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) eller "Win32/Filecoder.Locky.A"-infektion efter åbning af en e-mail fra en ukendt kilde eller ZIP-filer fra en sådan e-mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" og "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Løsning
De nuværende versioner af ESET-applikationer bruger flere lag af teknologier til at beskytte computere mod ransomware.
Eksempler på disse teknologier omfatter Advanced Memory Scanner, ESET LiveGrid® Reputation System og Exploit Blocker.
Derudover indeholder de nyeste ESET-programmer et forbedret Botnet Protection-modul, der blokerer kommunikationen mellem ransomware og Command and Control (C&C)-servere.
Generelle ESET-applikationers bedste praksis for anti-ransomware
- Aktivér registrering af PUA (potentielt uønskede programmer)
Følg instruktionerne i den linkede artikel for at detect unwanted, unsafe, and suspicious applications, såsom RMM-værktøjer (remote monitoring and management), sårbare drivere, netværksscannere og anden software, der kan udgøre en sikkerhedsrisiko for dit system. Selv om disse værktøjer kan være pålidelige, signerede og legitime, endda indbyggede systemværktøjer, bliver de i vid udstrækning misbrugt af angribere under ransomware-indbrud. Mere information om potentielt uønskede programmer og potentielt uønsket indhold.
-
Hold Advanced Memory Scanner og Exploit Blocker aktiveret
Disse nydesignede ESET-algoritmer styrker beskyttelsen mod malware, der er designet til at undgå at blive opdaget af antimalware-produkter ved hjælp af tilsløring og/eller kryptering.
Advanced Memory Scanner leder efter mistænkelig adfærd, efter at malware er dekrypteret i hukommelsen, og Exploit Blocker styrker beskyttelsen mod målrettede angreb og tidligere usete sårbarheder, også kendt som zero-day-sårbarheder.
For at opnå maksimal beskyttelse anbefaler vi, at du opgraderer dine ESET-programmer til den nyeste version:
-
Hold ESET LiveGrid® aktiveret
ESET Cloud Malware Protection System er baseret på ESET LiveGrid®. Det overvåger ukendte og potentielt ondsindede applikationer og udsætter prøver for automatisk sandboxing og adfærdsanalyse.
Sørg for, at ESET LiveGrid®-omdømme og ESET LiveGrid®-feedback-systemet er aktiveret og fungerer i dit ESET-produkt.
-
Hold ESET opdateret
Der udgives ofte nye varianter af eksisterende ransomware, så det er vigtigt, at du modtager regelmæssige opdateringer af virusdatabasen (dit ESET-program tjekker for opdateringer hver time, forudsat at du har et gyldigt abonnement og en fungerende internetforbindelse).
-
Brugere af virtuelle maskiner
For at få den bedste beskyttelse mod ransomware-malware anbefaler vi at bruge ESET Endpoint Security for Windows i virtuelle miljøer.
-
Sørg for, at du har aktiveret Ransomware Shield
Ransomware Shield, som er en del af Self-Defense-teknologien, er et andet beskyttelseslag, der fungerer som en del af HIPS-funktionen. For mere information, se Ransomware Shield i ESET-ordlisten, og hvordan du konfigurerer det i ESET-applikationer.
-
Konfigurer yderligere indstillinger for at beskytte mod ransomware i ESET-forretningsprodukter manuelt eller ved hjælp af ESET PROTECT On-Prem/ESET PROTECT Policy
-
Notifikationer
Minimér din risiko for krypteringsbaseret malware (ransomware)
-
Planlæg at sikkerhedskopiere dit system regelmæssigt, og opbevar mindst én sikkerhedskopi i offline-lager for at beskytte dit seneste arbejde mod et angreb.
-
Brugertilladelser og begrænsning af rettigheder
Der er mange typer begrænsninger, f.eks. begrænsning af adgang til applikationsdata og endda nogle, der er forudbygget som et gruppepolitikobjekt (GPO).
- Deaktiver filer, der kører fra mapperne AppData og LocalAppData.
- Bloker udførelse fra Temp-undermappen (som standard en del af AppData-træet).
- Bloker eksekverbare filer, der kører fra arbejdsmapperne i forskellige dekomprimeringsværktøjer (f.eks. WinZip eller 7-Zip).
- I ESET Endpoint Security for Windows, ESET Mail Security for Microsoft Exchange Server og ESET Server Security for Microsoft Windows Server kan du desuden oprette HIPS-regler for kun at tillade visse programmer at køre på computeren og blokere alle andre som standard: Opret en HIPS-regel og håndhæv den på en klientarbejdsstation ved hjælp af ESET PROTECT On-Prem.
-
Deaktiver ikke brugerkontokontrol (UAC)
Åbn ikke vedhæftede filer, der udgiver sig for at være en fax, faktura eller kvittering, hvis de har et mistænkeligt navn, eller hvis du ikke forventede at modtage dem.
-
Brug to-faktor-autentificering (2FA)
Vi anbefaler ESET Secure Authentication, som kan bruges som en cloud- eller on-premise-komponent. For mere information, besøg ESET Online Help.
-
Forsvar mod trusler
Vi anbefaler ESET LiveGuard Advanced.
-
Deaktiver makroer (VBA) i Microsoft Office via gruppepolitik
Microsoft Office 2019 og tidligere versioner: Planlæg sikkerhedsindstillinger for VBA-makroer til Office
Microsoft Office 365 bruger Office Cloud Policy Service (OCPS) til at håndhæve politikker, der blokerer makroeksekvering i Office-filer fra internettet.
-
Hold dit system opdateret
For at sikre, at du har den bedst mulige beskyttelse, skal du holde dit operativsystem og dine programmer opdaterede. Installer de seneste opdateringer med høj prioritet, der tilbydes i Windows Update-værktøjet, og tjek regelmæssigt eller aktiver funktionen Automatiske opdateringer. Nye sikkerhedsopdateringer lapper systemets sårbarheder og reducerer risikoen for malwareangreb.
-
Potentielle porte/services, der kan udnyttes, hvis de står åbne
For at forhindre ukendte IP-adresser i at udføre vellykkede Brute-Force-angreb anbefaler vi på det kraftigste at låse SMB, SQL og RDP.
Service Anbefalinger SMB Luk fildelingsportene 135-139 og 445. SMB-porte bør ikke være eksponeret for internettet. SQL Whitelist betroede IP-adresser, der har tilladelse til at oprette forbindelse til SQL. RDP Stop eksterne RDP-brute-force-angreb ved at lukke RDP for eksterne forbindelser. Brug en VPN med to-faktor-godkendelse til at oprette forbindelse til det interne netværk.Indstil automatiske kontolåsninger efter et bestemt antal mislykkede forsøg med en ventetid, før der låses op.Håndhæv stærke adgangskoder.Deaktiver ubrugte eller standardkonti (administrator, admin, root).Whitelist specifikke brugere og grupper til RDP-login.Whitelist specifikke IP-adresser for at muliggøre RDP-forbindelse. -
Bedste praksis for Remote Desktop Protocol mod angreb
Krypteringsbaseret malware får ofte adgang til målmaskiner via Remote Desktop Protocol (RDP), der er indbygget i Windows. RDP giver andre mulighed for at oprette fjernforbindelse til dit system, så angriberen kan misbruge RDP til at fjerne beskyttelsen og derefter distribuere malwaren.
Vi anbefaler, at du deaktiverer eller ændrer Remote Desktop Protocol. Hvis du ikke har brug for RDP, kan du ændre standardporten (3389) eller deaktivere RDP for at beskytte din maskine mod ransomware og andre RDP-udnyttelser. For instruktioner om, hvordan du deaktiverer RDP, kan du besøge den relevante Microsoft Knowledgebase-artikel nedenfor:
For mere information om RDP, se følgende WeLiveSecurity-artikel: Sikring af RDP og fjernadgang.
-
Beskyt dine ESET-applikationsindstillinger med adgangskode
Hvis du er forretningsbruger, anbefaler vi, at du bruger en adgangskode til at beskytte ESET-applikationen mod uautoriserede ændringer fra en angriber. Dette forhindrer uautoriseret ændring af indstillinger, deaktivering af beskyttelsen eller endda afinstallation af ESET-produktet. Hvis du bruger RDP, anbefaler vi, at du bruger en anden adgangskode end den, der bruges til RDP-loginoplysningerne.
For mere information, se hvordan du beskytter din ESET-applikation med en adgangskode.
Kan krypterede filer gendannes?
Moderne ransomware krypterer data ved hjælp af asymmetrisk kryptering og flere krypteringsalgoritmer. Kort sagt krypteres filer med en offentlig nøgle og kan ikke dekrypteres uden den tilhørende private nøgle. Med den nuværende ransomware er den private nøgle aldrig placeret på den berørte arbejdsstation eller i det berørte miljø. Det betyder, at data skal gendannes fra en god sikkerhedskopi, der er lavet før infektionen.
Hvis der ikke findes nogen sikkerhedskopier, kan du forsøge at gendanne filer fra skyggekopier. Download Shadow Explorer.
Det er dog ikke ualmindeligt, at ransomware-infektioner sletter skyggekopier for at forhindre gendannelse af filer.
Hvilke skridt skal du tage, hvis du er inficeret med ransomware?
-
Afbryd computerens forbindelse til netværket.
-
Find TXT- eller HTML-filen med betalingsinstruktioner, f.eks. "Sådan dekrypteres" delte mapper/drev, der er krypteret. malware-forskerne kan bruge dette til yderligere analyse.
