[KB3433] Parhaat käytännöt suojautumiseen kiristysohjelmilta

Yleiset parhaat käytännöt kiristyshaittaohjelmien torjumiseksi - Minimoi salauspohjaisten haittaohjelmien (ransomware) aiheuttama riski

• Pidä varmuuskopioita järjestelmästäsi

  Suunnittele, että otat järjestelmästäsi säännöllisesti varmuuskopioita, ja pidä vähintään yksi tällainen varmuuskopio offline-tallennuksessa, jotta voit suojata viimeisimmät työsi hyökkäykseltä.

• Käyttäjäoikeudet ja oikeuksien rajoittaminen

  On olemassa monenlaisia rajoituksia, kuten rajoitus käyttää sovellustietoja ja jopa joitakin, jotka on valmiiksi rakennettu ryhmäkäytäntöobjektina (GPO).

  • Poista käytöstä AppData- ja LocalAppData-kansioista suoritettavat tiedostot.

  • Estä suoritus Temp-alihakemistosta (joka on oletusarvoisesti osa AppData-puuta).

  • Estää suoritettavien tiedostojen suorittamisen erilaisten purkuohjelmien (esimerkiksi WinZip tai 7-Zip) työhakemistoista.

    Lisäksi ESET Endpoint Security/Antivirus, ESET Mail Security ja ESET File Security -ohjelmissa voit luoda HIPS-sääntöjä, joiden avulla voit sallia vain tiettyjen sovellusten suorittamisen tietokoneella ja estää oletusarvoisesti kaikki muut: Luo HIPS-sääntö ja ota se käyttöön asiakkaan työasemalla ESET PROTECT On-Prem -ohjelmalla.

• Älä poista User Account Control (UAC) -toimintoa käytöstä

  Älä avaa liitetiedostoja, jotka väittävät olevansa faksi, lasku tai kuitti, jos niiden nimi on epäilyttävä tai jos et odottanut saavasi niitä.

  #@##publication_url id='120' target='_blank' content='Mitä voin tehdä minimoidakseni haittaohjelmahyökkäyksen riskin?' focus=''#@#

• Käytä kaksitekijätodennusta (2FA)

  Suosittelemme ESET Secure Authentication-järjestelmää.

• Uhkapuolustus

  Suosittelemme ESET LiveGuard Advancedia.

• Poista Microsoft Officen makrot käytöstä ryhmäkäytännön avulla

  Office 2013/2016 (seuraava linkki koskee vuotta 2013, mutta samat asetukset ovat käytössä myös vuonna 2016): VBA-makrojen suojausasetukset Officea varten

• Pidä järjestelmäsi ajan tasalla

  Varmista paras mahdollinen suojaus pitämällä käyttöjärjestelmä ja sovellukset ajan tasalla. Asenna uusimmat Windows Update -työkalussa tarjotut korkean prioriteetin päivitykset ja tarkista säännöllisesti tai ota automaattiset päivitykset käyttöön. Uudet tietoturvapäivitykset paikkaavat järjestelmän haavoittuvuuksia ja vähentävät haittaohjelmahyökkäysten riskiä.

• Mahdolliset portit/palvelut, joita voidaan käyttää hyväksi, jos ne jätetään auki

  Jotta tuntematon IP-osoite ei voisi suorittaa onnistuneita Brute Force -hyökkäyksiä, suosittelemme vahvasti SMB-, SQL- ja RDP-porttien sulkemista.

  1. SMB

     Sulje tiedostojen jakamisen portit 135-139 ja 445. SMB-portteja ei pitäisi avata internetiin.

  2. SQL

     Laadi luettelo luotettavista IP-osoitteista, jotka saavat muodostaa yhteyden SQL:ään

  3. RDP

     • Pysäytä RDP:n ulkopuoliset Brute Force -hyökkäykset sulkemalla RDP ulkoisilta yhteyksiltä. Käytä VPN:ää, jossa on kaksitekijätodennus, yhteyden muodostamiseen sisäverkkoon.

     • Aseta automaattiset tililukitukset tietyn epäonnistuneiden yritysten määrän jälkeen. Sisällytä odotusaika automaattista lukituksen avaamista varten, kun tili on lukittu.

     • Vahvojen salasanojen käyttöönotto

     • Poista käytöstä yleiset käyttämättömät ja oletustilit, esimerkiksi administrator, admin tai root

     • Laita tietyt käyttäjät ja ryhmät valkoiselle listalle, jotta kirjautuminen RDP:n avulla on sallittua

     • Laita tietyt IP-osoitteet valkoiselle listalle RDP-yhteyden sallimiseksi
       
       

• Etätyöpöytäprotokollan parhaat käytännöt hyökkäyksiä vastaan

  Salauspohjaiset haittaohjelmat pääsevät usein kohdekoneisiin käyttämällä Windowsiin integroitua Remote Desktop Protocol (RDP) -työkalua. RDP:n avulla muut voivat muodostaa etäyhteyden järjestelmääsi, joten hyökkääjä voi käyttää RDP:tä väärin poistaakseen suojauksen ja ottaakseen haittaohjelman käyttöön.

  Suosittelemme Remote Desktop Protocol -työkalun poistamista käytöstä tai muuttamista. Jos et tarvitse RDP:n käyttöä, voit muuttaa oletusporttia (3389) tai poistaa RDP:n käytöstä, jotta voit suojata koneesi lunnasohjelmilta ja muilta RDP-hyökkäyksiltä. Ohjeita RDP:n poistamiseen käytöstä on alla olevassa Microsoft Knowledge Base -artikkelissa:

  • Windows 11
  • Windows 10
  • Windows 8
  • Windows 7
  
  

  Lisätietoja RDP:stä on seuraavassa WeLiveSecurityn artikkelissa: Remote Desktop (RDP) Hacking 101: Näen työpöytäsi täältä!

• Suojaa ESET-tuotteen asetukset salasanalla

  Jos olet yrityskäyttäjä, suosittelemme käyttämään salasanaa ESET-tuotteen suojaamiseksi siltä, että hyökkääjä ei voi muuttaa sitä. Näin estetään asetusten muuttaminen ilman valtuutusta, suojauksen poistaminen käytöstä tai jopa ESET-tuotteen poistaminen. Jos käytät RDP:tä, suosittelemme käyttämään eri salasanaa kuin RDP-kirjautumistunnuksissa.

  Lisätietoja on osoitteessa how to protect your ESET product with a password.

Voiko salatut tiedostot palauttaa?

Nykyaikaiset lunnasohjelmat salakirjoittavat tietoja käyttämällä epäsymmetrisiä menetelmiä ja useita erilaisia salausmuotoja. Lyhyesti sanottuna tiedostot salataan julkisella avaimella, eikä niitä voida purkaa ilman niihin liittyvää yksityistä avainta. Nykyisissä lunnasohjelmissa yksityinen avain ei koskaan sijaitse saastuneessa työasemassa tai ympäristössä. Tämä tarkoittaa, että tiedot on palautettava ennen tartuntaa tehdystä hyvästä varmuuskopiosta.

Jos varmuuskopioita ei ole saatavilla, voit yrittää palauttaa tiedostoja varjokopioista. Voit käyttää Shadow Exploreria, jonka voit ladata seuraavalta verkkosivulta: http://www.shadowexplorer.com/downloads.html

Ei ole kuitenkaan harvinaista, että kiristysohjelmatartunnat poistavat varjokopiot, jolloin tiedostojen palauttaminen estyy.

Mihin toimiin sinun tulisi ryhtyä, jos olet saanut kiristysohjelmatartunnan?

1. Irrota tietokone verkosta.

2. Etsi TXT- tai HTML-tiedosto, jossa on maksuohjeet, esimerkiksi "Miten puretaan salaus" salatut jaetut kansiot/asemat. Haittaohjelmatutkijamme voivat käyttää tätä lisäanalyyseihin.

3. Ota yhteyttä paikalliseen ESET-kumppaniin saadaksesi tukea.