Problemstilling
- Du vil bruge de bedste fremgangsmåder til at konfigurere dit system til at beskytte mod ransomware-malware
- Generelle ESET-produkters bedste praksis for anti-ransomware
- Generel praksis for anti-ransomware
- Gendannelse af krypterede filer
Detaljer om problemet
Klik for at udvide
Ransomware er malware, der kan låse en enhed eller kryptere dens indhold for at afpresse penge fra ejeren til gengæld for at genoprette adgangen til disse ressourcer. Denne form for malware kan også have en indbygget timer med en betalingsfrist, der skal overholdes; ellers vil prisen for at låse data og hardware op vokse - eller oplysningerne og enheden vil i sidste ende blive gjort permanent utilgængelige.
Ransomware er infektioner, der krypterer personlige filer og datafiler. Typisk bliver en arbejdsstation inficeret, og så vil ransomwaren forsøge at kryptere alle kortlagte fællesdrev. Det kan få infektionen til at se ud, som om den spreder sig gennem dit netværk, selv om den ikke gør det.
Selvom dine filer kan være krypterede, er dit system måske ikke inficeret. Det er muligt, når et delt drev på en filserver er krypteret, men selve serveren ikke indeholder malware-infektionen (medmindre det er en terminalserver).
Andre eksempler på kendt ransomware er:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) eller Win32/Filecoder.Locky.A-infektion efter åbning af en e-mail fra en ukendt kilde eller ZIP-filer fra en sådan e-mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" og "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Løsning
De nuværende versioner af ESET-produkter bruger flere lag af teknologier til at beskytte computere mod ransomware.
Eksempler på disse teknologier omfatter Advanced Memory Scanner, ESET LiveGrid® Reputation System og Exploit Blocker.
Derudover indeholder de nyeste ESET-produkter et forbedret Botnet Protection-modul, der blokerer kommunikationen mellem ransomware og Command and Control (C&C)-servere.
Generelle ESET-produkters bedste praksis for anti-ransomware
-
Hold Advanced Memory Scanner og Exploit Blocker aktiveret
Disse to funktioner er aktiveret som standard i ESET-produkter version 5 og nyere. Disse nyudviklede ESET-algoritmer styrker beskyttelsen mod malware, der er designet til at undgå at blive opdaget af anti-malware-produkter ved hjælp af tilsløring og/eller kryptering.
Advanced Memory Scanner leder efter mistænkelig adfærd, efter at malware er dekrypteret i hukommelsen, og Exploit Blocker styrker beskyttelsen mod målrettede angreb og tidligere usete sårbarheder, også kendt som zero-day-sårbarheder.
For at opnå maksimal beskyttelse anbefaler vi, at du opgraderer dine ESET-produkter til den nyeste version:
-
hjemmebrugere: Hvilket ESET-produkt har jeg, og er det den nyeste version? (Hjemmebrugere) -
erhvervsbrugere: Har jeg den nyeste version af ESETs
-
-
Hold ESET LiveGrid aktiveret
ESET Cloud Malware Protection System er baseret på ESET LiveGrid. Det overvåger ukendte og potentielt ondsindede applikationer og udsætter prøver for automatisk sandboxing og adfærdsanalyse.
Sørg for, at ESET LiveGrid®-omdømme og ESET LiveGrid®-feedback-systemet er aktiveret og fungerer i dit ESET-produkt.
-
Hold ESET opdateret
Der udgives ofte nye varianter af eksisterende ransomware, så det er vigtigt, at du modtager regelmæssige opdateringer af virusdatabasen (dit ESET-produkt tjekker for opdateringer hver time, forudsat at du har en gyldig licens og en fungerende internetforbindelse).
-
privatbrugere : Update ESET Products-check for latest product modules
-
erhvervsbrugere : Opdater ESETs
-
-
Brugere af virtuelle maskiner
For at få den bedste beskyttelse mod ransomware-malware anbefaler vi at bruge ESET Endpoint Security i virtuelle miljøer.
-
Sørg for, at du har aktiveret Ransomware Shield
Ransomware Shield som en del af en Self-Defense-teknologi er et andet beskyttelseslag, der fungerer som en del af HIPS-funktionen. For mere information, se Ransomware Shield i ESET Glossary, og hvordan du konfigurerer det i ESET-produkter.
-
Konfigurer yderligere indstillinger for at beskytte mod ransomware i ESET-forretningsprodukter manuelt eller ved hjælp af ESET PROTECT On-Prem/ESET PROTECT Policy
-
Notifikationer
Generel bedste praksis for anti-ransomware - Minimer din risiko for krypteringsbaseret malware (ransomware)
-
Tag sikkerhedskopier af dit system
Planlæg at tage regelmæssige sikkerhedskopier af dit system, og opbevar mindst én af disse sikkerhedskopier offline for at beskytte dit seneste arbejde mod et angreb.
-
Brugertilladelser og begrænsning af rettigheder
Der er mange typer begrænsninger, f.eks. begrænsning af adgang til applikationsdata og endda nogle, der er forudbygget som et gruppepolitikobjekt (GPO).
-
Deaktiver filer, der kører fra mapperne AppData og LocalAppData.
-
Bloker udførelse fra Temp-undermappen (som standard en del af AppData-træet).
-
Bloker eksekverbare filer, der kører fra arbejdsmapperne i forskellige dekomprimeringsværktøjer (f.eks. WinZip eller 7-Zip).
I ESET Endpoint Security/Antivirus, ESET Mail Security og ESET File Security kan du desuden oprette HIPS-regler, der kun tillader visse programmer at køre på computeren og blokerer alle andre som standard: Opret en HIPS-regel og håndhæv den på en klientarbejdsstation ved hjælp af ESET PROTECT On-Prem.
-
-
Deaktiver ikke brugerkontokontrol (UAC)
Åbn ikke vedhæftede filer, der udgiver sig for at være en fax, faktura eller kvittering, hvis de har et mistænkeligt navn, eller hvis du ikke forventede at modtage dem.
Hvad kan jeg gøre for at minimere risikoen for et malware-angreb?
-
Brug to-faktor-autentificering (2FA)
Vi anbefaler ESET Secure Authentication.
-
Forsvar mod trusler
Vi anbefaler ESET LiveGuard Advanced.
-
Deaktiver makroer i Microsoft Office via gruppepolitik
Office 2013/2016 (følgende link er for 2013, men det er de samme indstillinger for 2016): Planlæg sikkerhedsindstillinger for VBA-makroer til Office
-
Hold dit system opdateret
For at sikre, at du har den bedst mulige beskyttelse, skal du holde dit operativsystem og dine programmer opdaterede. Installer de seneste opdateringer med høj prioritet, der tilbydes i Windows Update-værktøjet, og tjek regelmæssigt eller aktiver funktionen Automatiske opdateringer. Nye sikkerhedsopdateringer lapper systemets sårbarheder og reducerer risikoen for malwareangreb.
-
Potentielle porte/services, der kan udnyttes, hvis de står åbne
For at forhindre en ukendt IP-adresse i at udføre vellykkede Brute Force-angreb anbefaler vi på det kraftigste at låse SMB, SQL og RDP.
-
SMB
Luk fildelingsportene 135-139 og 445. SMB-porte bør ikke være eksponeret for internettet.
-
SQL
Whitelist betroede IP-adresser, der har tilladelse til at oprette forbindelse til SQL
-
RDP
-
Stop udefrakommende RDP Brute Force-angreb ved at lukke RDP for eksterne forbindelser. Brug en VPN med tofaktorgodkendelse til at oprette forbindelse til det interne netværk.
-
Indstil automatiske kontolåsninger efter et vist antal mislykkede forsøg. Inkluder en ventetid for automatisk oplåsning, efter at en konto er blevet låst.
-
Håndhæv stærke adgangskoder
-
Deaktiver almindelige ubrugte og standardkonti, f.eks. administrator, admin eller root
-
Whitelist specifikke brugere og grupper for at tillade login ved hjælp af RDP
-
Whitelist specifikke IP-adresser for at tillade en RDP-forbindelse
-
-
-
Bedste praksis for Remote Desktop Protocol mod angreb
Krypteringsbaseret malware får ofte adgang til målmaskiner ved hjælp af RDP-værktøjet (Remote Desktop Protocol), der er integreret i Windows. RDP giver andre mulighed for at oprette fjernforbindelse til dit system, så angriberen kan misbruge RDP til at fjerne beskyttelsen og derefter distribuere malwaren.
Vi anbefaler, at du deaktiverer eller ændrer Remote Desktop Protocol. Hvis du ikke har brug for RDP, kan du ændre standardporten (3389) eller deaktivere RDP for at beskytte din maskine mod ransomware og andre RDP-udnyttelser. For instruktioner om, hvordan du deaktiverer RDP, kan du besøge den relevante Microsoft Knowledge Base-artikel nedenfor:
For mere information om RDP, se følgende WeLiveSecurity-artikel: Remote Desktop (RDP) Hacking 101: Jeg kan se dit skrivebord herfra!
-
Beskyt dine ESET-produktindstillinger med en adgangskode
Hvis du er forretningsbruger, anbefaler vi, at du bruger en adgangskode til at beskytte ESET-produktet mod at blive ændret af en angriber. Dette forhindrer uautoriseret ændring af indstillinger, deaktivering af beskyttelsen eller endda afinstallation af ESET-produktet. Hvis du bruger RDP, anbefaler vi, at du bruger en anden adgangskode end den, der bruges til RDP-loginoplysningerne.
For mere information, se hvordan du beskytter dit ESET-produkt med en adgangskode.
Kan krypterede filer gendannes?
Moderne ransomware krypterer data ved hjælp af asymmetriske metoder og flere typer krypteringschiffer. Kort sagt krypteres filer med en offentlig nøgle og kan ikke dekrypteres uden den tilhørende private nøgle. Med den nuværende ransomware er den private nøgle aldrig placeret på den berørte arbejdsstation eller i det berørte miljø. Det betyder, at data skal gendannes fra en god sikkerhedskopi, der er lavet før infektionen.
Hvis der ikke findes nogen sikkerhedskopier, kan du forsøge at gendanne filer fra skyggekopier. Du kan bruge Shadow Explorer, som du kan downloade fra følgende webside: http://www.shadowexplorer.com/downloads.html
Det er dog ikke ualmindeligt, at ransomware-infektioner sletter Shadow Copies for at forhindre gendannelse af filer.
Hvilke skridt skal du tage, hvis du er inficeret med ransomware?
-
Afbryd computerens forbindelse til netværket.
-
Find TXT- eller HTML-filen med betalingsinstruktioner, f.eks. "Sådan dekrypteres" delte mapper/drev, der er krypteret. Dette kan bruges af vores malware-forskere til yderligere analyse.
