[KB3433] Parhaat käytännöt suojautumiseen kiristysohjelmilta

• Haluat käyttää parhaita käytäntöjä määrittääksesi järjestelmäsi suojautumaan kiristyshaittaohjelmilta
• Yleiset ESET-sovelluksen parhaat käytännöt kiristyshaittaohjelmien torjumiseksi
• Yleiset käytännöt kiristysohjelmien torjumiseksi
• Salattujen tiedostojen palauttaminen

ESET-sovellusten nykyisissä versioissa käytetään useita teknologiakerroksia tietokoneiden suojaamiseksi kiristysohjelmilta.

Esimerkkejä näistä teknologioista ovat Advanced Memory Scanner, ESET LiveGrid® Reputation System ja Exploit Blocker.

Lisäksi uusimmissa ESET-sovelluksissa on parannettu Botnet Protection -moduuli, joka estää yhteydenpidon lunnasohjelmien ja C&C-palvelimien (Command and Control) välillä.

Yleiset ESET-sovellusten parhaat käytännöt kiristysohjelmien torjumiseksi

• Ota käyttöön PUA:n (potentiaalisesti ei-toivotut sovellukset) havaitseminen

Noudata linkitetyn artikkelin ohjeita havaitse ei-toivotut, vaaralliset ja epäilyttävät sovellukset, kuten RMM-työkalut (etävalvonta- ja hallintatyökalut), haavoittuvat ajurit, verkkoskannerit ja muut ohjelmistot, jotka voivat aiheuttaa turvallisuusriskin järjestelmälle. Vaikka nämä työkalut saattavat olla luotettavia, allekirjoitettuja ja laillisia, jopa sisäänrakennettuja järjestelmän apuohjelmia, hyökkääjät käyttävät niitä laajalti hyväkseen lunnasohjelmien tunkeutumisen yhteydessä. Lisätietoja mahdollisesti ei-toivotuista sovelluksista ja mahdollisesti ei-toivotusta sisällöstä.

• Pidä Advanced Memory Scanner ja Exploit Blocker -toiminnot käytössä

  Nämä äskettäin suunnitellut ESET-algoritmit vahvistavat suojaa haittaohjelmia vastaan, jotka on suunniteltu kiertämään haittaohjelmien torjuntatuotteiden havaitseminen käyttämällä hämäystä ja/tai salausta.

  Advanced Memory Scanner etsii epäilyttävää käyttäytymistä sen jälkeen, kun haittaohjelma on purettu muistissa, ja Exploit Blocker vahvistaa suojaa kohdennettuja hyökkäyksiä ja aiemmin näkymättömiä haavoittuvuuksia, niin sanottuja nollapäivän haavoittuvuuksia, vastaan.

  Maksimaalisen suojan saavuttamiseksi suosittelemme, että päivität ESET-sovellukset uusimpaan versioon:

  • Kotikäyttäjät: Tarkista uusin versio ESETin koti- tai pientoimistotuotteesta (Windows)
  • Yrityskäyttäjät: Tarkista uusin versio ESETin yritystuotteista (Windows)
    
    

• Pidä ESET LiveGrid® käytössä

  ESET Cloud -haittaohjelmasuojausjärjestelmä perustuu ESET LiveGrid® -järjestelmään. Se valvoo tuntemattomia ja mahdollisesti haitallisia sovelluksia ja altistaa näytteet automaattiselle hiekkalaatikolle ja käyttäytymisanalyysille.

  Varmista, että ESET LiveGrid® -maine ja ESET LiveGrid® -palautejärjestelmä on käytössä ja toimii ESET-tuotteessasi.

• Pidä ESET ajan tasalla

  Nykyisistä lunnasohjelmista julkaistaan usein uusia versioita, joten on tärkeää, että saat säännöllisesti virustietokannan päivityksiä (ESET-sovellus tarkistaa päivitykset tunnin välein, jos sinulla on voimassa oleva tilaus ja toimiva internet-yhteys).

  • Kotikäyttäjät: Päivitä ESET Windows koti- tai pienen toimiston tuotteesi
  • Yrityskäyttäjät: Päivitä ESET-loppupistetuotteet yksittäisissä asiakastyöasemissa - tarkista uusimmat tuotemoduulit
    
    

• Virtuaalikoneiden käyttäjät

  Parhaan suojan kiristyshaittaohjelmia vastaan saat, kun suosittelemme ESET Endpoint Security for Windows -ohjelman käyttöä virtuaaliympäristöissä.

• Varmista, että Ransomware Shield on käytössäsi

  Ransomware Shield on osana Self-Defense-teknologiaa toinen suojaustaso, joka toimii osana HIPS-ominaisuutta. Lisätietoja on ESET-sanastossa kohdassa Ransomware Shield ja sen määrittäminen ESET-sovelluksissa.

• Määritä lisäasetukset lunnasohjelmilta suojautumiseksi ESET-liiketoimintatuotteissa manuaalisesti tai käyttämällä ESET PROTECT On-Prem/ESET PROTECT Policy -käytäntöjä

  • HIPS-sääntöjen määrittäminen ESETin yritystuotteille
  • Configure Firewall rules for ESET Endpoint Security
  • Configure ESET Mail Security for Microsoft Exchange Server
    
    

• Ilmoitukset

  • ESET LiveGuard Advanced -ilmoitukset havaituista uhkista

Minimoi salauspohjaisten haittaohjelmien (ransomware) aiheuttama riski

• Pidä varmuuskopioita järjestelmästäsi

  Suunnittele varmuuskopioivasi järjestelmäsi säännöllisesti ja pidä vähintään yksi varmuuskopio offline-tallennuksessa, jotta voit suojata viimeisimmät työsi hyökkäyksiltä.

• Käyttäjäoikeudet ja oikeuksien rajoittaminen

  On olemassa monenlaisia rajoituksia, kuten rajoitus käyttää sovellustietoja ja jopa joitakin, jotka on valmiiksi rakennettu ryhmäkäytäntöobjektina (GPO).

  • Poista käytöstä AppData- ja LocalAppData-kansioista suoritettavat tiedostot.
  • Estä suoritus Temp-alihakemistosta (joka on oletusarvoisesti osa AppData-puuta).
  • Estää suoritettavien tiedostojen suorittamisen erilaisten purkuohjelmien (esimerkiksi WinZip tai 7-Zip) työhakemistoista.
  • Lisäksi ESET Endpoint Security for Windows-, ESET Mail Security for Microsoft Exchange Server- ja ESET Server Security for Microsoft Windows Server -ohjelmissa voit luoda HIPS-sääntöjä, joiden avulla voit sallia vain tiettyjen sovellusten suorittamisen tietokoneella ja estää kaikki muut sovellukset oletusarvoisesti: #@##publication_url id='3277' language='' content='Luo HIPS-sääntö ja ota se käyttöön asiakastyöasemalla ESET PROTECT On-Premin avulla' target='_self'#@#.
    
    

• Älä poista User Account Control (UAC) -toimintoa käytöstä

  Älä avaa liitetiedostoja, jotka väittävät olevansa faksi, lasku tai kuitti, jos niiden nimi on epäilyttävä tai jos et odottanut saavasi niitä.

  #@##publication_url id='120' target='_blank' content='Minimoi haittaohjelmahyökkäyksen riski.' focus=''#@#

• Käytä kaksitekijätodennusta (2FA)

  Suosittelemme ESET Secure Authenticationia, jota voidaan käyttää pilvi- tai tilakomponenttina. Lisätietoja saat ESET Online Help -palvelusta.

• Uhkapuolustus

  Suosittelemme ESET LiveGuard Advancedia.

• Microsoft Officen makrojen (VBA) poistaminen käytöstä ryhmäkäytännön avulla

  Microsoft Office 2019 ja aiemmat versiot: Office VBA-makrojen suojausasetusten suunnittelu

  Microsoft Office 365 käyttää Office Cloud Policy Service (OCPS) -käytäntöpalvelua (Office Cloud Policy Service) sellaisten käytäntöjen noudattamiseen, jotka estävät makrojen suorittamisen Office-tiedostoissa internetistä.

• Pidä järjestelmäsi ajan tasalla

  Varmistaaksesi parhaan mahdollisen suojan pidä käyttöjärjestelmäsi ja sovelluksesi ajan tasalla. Asenna uusimmat Windows Update -työkalun tarjoamat ensisijaiset päivitykset ja tarkista säännöllisesti tai ota automaattiset päivitykset käyttöön. Uudet tietoturvapäivitykset paikkaavat järjestelmän haavoittuvuuksia ja vähentävät haittaohjelmahyökkäysten riskiä.

• Mahdolliset portit/palvelut, joita voidaan käyttää hyväksi, jos ne jätetään auki

  Jotta tuntemattomat IP-osoitteet eivät voisi suorittaa onnistuneita Brute-Force-hyökkäyksiä, suosittelemme vahvasti SMB-, SQL- ja RDP-porttien sulkemista.

  Palvelu	Suositukset
  SMB	Sulje tiedostojen jakamisen portit 135-139 ja 445. SMB-portit eivät saa olla alttiina Internetille.
  SQL	Laita luetteloon luotettavat IP-osoitteet, jotka saavat muodostaa yhteyden SQL:ään.
  RDP	Pysäytä ulkoisen RDP:n brute-force-hyökkäykset sulkemalla RDP ulkoisilta yhteyksiltä. Käytä VPN:ää, jossa on kaksitekijätodennus, yhteyden muodostamiseen sisäverkkoon.
  	Aseta automaattiset tililukitukset tietyn epäonnistuneiden yritysten määrän jälkeen ja odotusajan ennen lukituksen avaamista.
  	Ota käyttöön vahvat salasanat.
  	Poista käytöstä käyttämättömät tai oletustilit (administrator, admin, root).
  	Laita tietyt käyttäjät ja ryhmät valkoiselle listalle RDP-kirjautumista varten.
  	Valikoi tietyt IP-osoitteet RDP-yhteyden mahdollistamiseksi.

• Etätyöpöytäprotokollan parhaat käytännöt hyökkäyksiä vastaan

  Salauspohjaiset haittaohjelmat pääsevät usein kohdekoneisiin Windowsiin integroidun RDP-protokollan (Remote Desktop Protocol) kautta. RDP:n avulla muut voivat muodostaa etäyhteyden järjestelmääsi, joten hyökkääjä voi käyttää RDP:tä väärin poistaakseen suojauksen ja ottaakseen haittaohjelman käyttöön.

  Suosittelemme, että poistat etätyöpöytäprotokollan käytöstä tai muutat sen. Jos et tarvitse RDP:n käyttöä, voit vaihtaa oletusporttia (3389) tai poistaa RDP:n käytöstä, jolloin koneesi on suojattu lunnasohjelmilta ja muilta RDP-hyökkäyksiltä. Ohjeita RDP:n poistamiseen käytöstä on alla olevassa Microsoft Knowledgebase -artikkelissa:

  • Windows 11
  • Windows 10
  
  

  Lisätietoja RDP:stä on seuraavassa WeLiveSecurityn artikkelissa: RDP:n ja etäkäytön suojaaminen.

• Suojaa ESET-sovellusasetukset salasanalla

  Jos olet yrityskäyttäjä, suosittelemme käyttämään salasanaa ESET-sovelluksen suojaamiseksi hyökkääjän luvattomilta muutoksilta. Näin estetään asetusten muuttaminen ilman valtuutusta, suojauksen poistaminen käytöstä tai jopa ESET-tuotteen poistaminen. Jos käytät RDP:tä, suosittelemme käyttämään eri salasanaa kuin RDP-kirjautumistunnuksissa.

  Lisätietoja on osoitteessa how to protect your ESET application with a password.

Voiko salatut tiedostot palauttaa?

Nykyaikaiset lunnasohjelmat salakirjoittavat tiedot käyttämällä epäsymmetristä salausta ja useita salausalgoritmeja. Lyhyesti sanottuna tiedostot salataan julkisella avaimella, eikä niitä voida purkaa ilman niihin liittyvää yksityistä avainta. Nykyisissä lunnasohjelmissa yksityinen avain ei koskaan sijaitse saastuneessa työasemassa tai ympäristössä. Tämä tarkoittaa, että tiedot on palautettava ennen tartuntaa tehdystä hyvästä varmuuskopiosta.

Jos varmuuskopioita ei ole saatavilla, voit yrittää palauttaa tiedostoja varjokopioista. Lataa Shadow Explorer.

Ei ole kuitenkaan harvinaista, että kiristysohjelmatartunnat poistavat Shadow Copies -kopiot, jolloin tiedostojen palauttaminen estyy.

Mihin toimiin sinun tulisi ryhtyä, jos olet saanut kiristysohjelmatartunnan?

1. Irrota tietokone verkosta.

2. Etsi TXT- tai HTML-tiedosto, jossa on maksuohjeet, esimerkiksi "Miten puretaan salaus" salatut jaetut kansiot/asemat. haittaohjelmatutkijat voivat käyttää tätä lisäanalyyseihin.

3. #@##publication_url id='1232' target='_blank' content='Ota yhteyttä paikalliseen ESET-kumppaniin saadaksesi tukea' focus=''#@#.