Probléma
- Bevált gyakorlati lépések segítségével szeretné konfigurálni rendszerét a zsarolóprogramok elleni védelem érdekében
- Az ESET termékkel kapcsolatos gyakorlati tanácsok a zsarolóprogramok elleni védelemhez
- Zsarolóprogramokkal kapcsolatos általános gyakorlati tanácsok
- Titkosított fájlok helyreállítása
Részletek
Kattintson a részletekért
A zsarolóprogramok olyan rosszindulatú szoftverek, amelyek képesek lezárni egy eszközt vagy titkosítani annak tartalmát, hogy pénzt zsaroljanak ki a tulajdonostól az erőforrásokhoz való hozzáférés helyreállításáért cserébe. Ez a fajta kártevő beépített időzítővel is rendelkezhet, amelynek fizetési határidejét be kell tartani, ellenkező esetben az adatok és a hardver feloldásának ára nő - vagy az információk és az eszköz végül végleg hozzáférhetetlenné válik.
A zsarolóprogramok olyan fertőzések, amelyek személyes és adatfájlokat titkosítanak. Általában egy munkaállomást fertőznek meg, majd a zsarolóprogram megpróbálja titkosítani a hozzárendelt megosztott meghajtókat. Ezáltal ez a fertőzés úgy tűnhet, mintha a hálózaton keresztül terjedne, holott nem így van.
Bár a fájljai titkosítva lehetnek, a rendszere nem biztos, hogy fertőzött. Ez akkor lehetséges, ha egy fájlszerveren lévő megosztott meghajtó titkosítva van, de maga a szerver nem tartalmazza a fertőzést (kivéve, ha ez egy terminálszerver).
Példák az ismert zsarolóprogramokra:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) vagy Win32/Filecoder.Locky.A ismeretlen forrásból származó e-mail vagy ilyen e-mailből származó ZIP-fájlok megnyitásával fertőz
- "CryptoLocker", "Cryptowall", "Dirty decrypt", és "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Megoldás
Az ESET termékek jelenlegi verziói többrétegű technológiákat használnak a számítógépek zsarolóprogramok elleni védelmére.
Ilyen technológiák például a Továbbfejlesztett Memóriaellenőrzés, az ESET LiveGrid® Megbízhatósági Rendszer és az Exploit Blokkoló.
A legújabb ESET-termékek emellett egy továbbfejlesztett Botnet elleni védelmi modult is biztosítanak, amely megakadályozza a zsarolóprogramok és az azokat irányító és felügyelő (C&C) szerverek közötti kommunikációt.
Az ESET termékkel kapcsolatos gyakorlati tanácsok a zsarolóprogramok elleni védelemhez
-
Tartsa bekapcsolva a Továbbfejlesztett Memóriaellenőrzést és az Exploit Blokkolót
Ez a két funkció alapértelmezés szerint engedélyezve van az ESET termékek 5-ös és újabb verzióiban. Ezek az újonnan kifejlesztett ESET-algoritmusok megerősítik a védelmet az olyan rosszindulatú szoftverekkel szemben, amelyeket úgy terveztek, hogy a forráskódjuk értelmezhetetlenné tételével és/vagy titkosításuk segítségével elkerüljék a védelmi programok által történő észlelésüket.
A Továbbfejlesztett Memóriaellenőrzés gyanús viselkedést keres a memóriában lévő rosszindulatú szoftverek észlelését követően, az Exploit Blokkoló pedig a célzott támadások és az eddig még nem ismert, más néven nulladik napi sebezhetőségek elleni védelmet erősíti.
A maximális védelem érdekében javasoljuk, hogy frissítse ESET termékeit a legújabb verzióra:
-
Otthoni felhasználók: Melyik ESET-termékkel rendelkezem? Ez a legfrissebb verzió? (Otthoni felhasználok)
-
Vállalati felhasználók: Az ESET vállalati termékek legfrissebb verziójával rendelkezem?
-
-
Tartsa bekapcsolva az ESET LiveGrid-et
Az ESET Cloud Malware Védelmi Rendszer az ESET LiveGrid-re épül. Figyeli az ismeretlen és potenciálisan rosszindulatú alkalmazásokat, és a mintákat automatikus sandbox vizsgálatnak és viselkedéselemzésnek veti alá.
Győződjön meg arról, hogy az ESET LiveGrid® Megbízhatósági és az ESET LiveGrid® Visszajelzési Rendszer engedélyezve van és működik.
-
Tartsa naprakészen az ESET-termékét
Egyre gyakrabban jelennek meg a zsarolóprogramok új változatai, ezért fontos, hogy víruskereső adatbázis-frissítései rendszeresen letöltésre kerüljenek (az ESET-terméke óránként ellenőrzi a frissítéseket, feltéve, hogy érvényes licenccel és működő internetkapcsolattal rendelkezik).
-
Otthoni felhasználók: Az ESET-programok frissítése — legújabb programmodulok meglétének ellenőrzése
-
Vállalati felhasználók: Az ESET végponti termékek frissítése az egyes végpontokon - a legújabb programmodulok meglétének ellenőrzése
-
-
Virtuális gép felhasználók
A zsarolóprogramok elleni legjobb védelem érdekében javasoljuk az ESET Endpoint Security használatát virtuális környezetekben.
-
Győződjön meg róla, hogy a Zsarolóprogramok elleni védelem engedélyezve van
A Zsarolóprogramok elleni védelem az önvédelmi technológia egy újabb védelmi rétege, amely a Behatolásmegelőző Rendszer (HIPS) részeként működik. További információkért tekintse meg a Zsarolóprogramok elleni védelem szójegyzék-bejegyzést, valamint az ESET-termékekben történő beállításáról szóló Online Súgó bejegyzést.
-
Eszközöljön további beállításokat a zsarolóprogramok elleni védelemhez az ESET vállalati termékekben manuálisan vagy az ESET PROTECT/ESET PROTECT Cloud házirendek használatával
-
Értesítések
Zsarolóprogramokkal kapcsolatos általános gyakorlati tanácsok — A fájltitkosítást használó fertőzésekkel (zsarolóprogramokkal) kapcsolatos kockázatok minimalizálása
-
Készítsen biztonsági mentéseket a rendszeréről
Készítsen rendszeresen biztonsági mentéseket, és legalább egy ilyen biztonsági másolatot tartson offline tárhelyen, hogy megvédje a legfrissebb adatait és munkáit egy esetleges támadástól. Az elkészített biztonsági mentéseket midig tesztelje le, hogy biztos lehessen abban, hogy egy esetleges adatvesztés alkalmával visszaállíthatóak lesznek belőle az állományok.
-
Felhasználói engedélyek és a jogok korlátozása
Sokféle korlátozás létezik, például az alkalmazások adataihoz való hozzáférés korlátozása, sőt vannak olyanok is, amelyek csoportházirend-objektumként (GPO) előre be vannak építve.
-
Tiltsa le az AppData és a LocalAppData mappákból futtatott fájlokat.
-
A Temp alkönyvtárból (alapértelmezés szerint az AppData fastruktúra része) történő végrehajtás blokkolása.
-
A különböző tömörítő segédprogramok (például a WinZip vagy a 7-Zip) munkakönyvtáraiból futtatott fájlok blokkolása.
Ezenkívül az ESET Endpoint Security/Antivirus, az ESET Mail Security és az ESET Server Security programokban a Behatolásmegelőző rendszeren (HIPS) belül szabályokat hozhat létre, hogy csak bizonyos alkalmazások futtatását engedélyezze a számítógépen, és alapértelmezés szerint blokkolja az összes többit: [KB8018] Behatolásmegelőző rendszer-szabály létrehozása és érvényesítése egy végponton az ESET PROTECT (8.x-10.x) segítségével.
-
-
Ne tiltsa le a Felhasználói Fiókok Felügyeletét (UAC)
Ne nyissa meg a faxnak, számlának vagy nyugtának feltüntetett mellékleteket, ha azok gyanús nevet viselnek, vagy ha nem számított az érkezésükre.
Mit tehetek, hogy minimalizáljam a rosszindulatú szoftverek támadásának kockázatát?
-
Használjon kétfaktoros hitelesítést (2FA)
Ajánljuk az ESET Secure Authentication használatát.
-
Fenyegetések elleni védelem
Ajánljuk az ESET LiveGuard Advanced használatát.
-
Makrók letiltása a Microsoft Office-ban csoportházirenddel
Office 2013/2016 (az alábbi hivatkozás 2013-ra vonatkozik, de a 2016-os beállítások ugyanazok): VBA makrók biztonsági beállításai az Office számára
-
Tartsa naprakészen a rendszerét
Az elérhető legjobb védelem biztosítása érdekében tartsa naprakészen az operációs rendszert és az alkalmazásokat. Telepítse a Windows Update eszközben felkínált legújabb, kiemelt fontosságú frissítéseket, és rendszeresen ellenőrizze, vagy engedélyezze az Automatikus frissítések funkciót. Az új biztonsági frissítések befoltozzák a rendszer sebezhetőségeit, és csökkentik a rosszindulatú programok támadásának kockázatát.
A Microsoft a jelenlegi Windows operációs rendszerekhez és a Windows XP-hez is kiadott javításokat egy kritikus sebezhetőségek mérsékelésére. A frissítések alkalmazására vonatkozó utasításokat a Microsoft MS17-010 - Kritikus biztonsági közleményében olvashatja.
-
Potenciális portok/szolgáltatások, amelyek kihasználhatók, ha nyitva maradnak
Az ismeretlen IP-címekről történő sikeres Brute Force-támadások megakadályozása érdekében, erősen javasolt az SMB, az SQL és az RDP letiltása.
-
SMB
Tiltsa le a 135-139-es és a 445-ös fájlmegosztó portokat. Az SMB portokat nem szabad az internet felé engedélyezni
-
SQL
Fehérlistázza a megbízható IP-címeket, amelyek csatlakozhatnak az SQL-hez
-
RDP
-
Akadályozza meg a kívülről érkező RDP Brute Force támadásokat az RDP külső kapcsolatok esetén történő tiltásával. A belső hálózathoz való csatlakozáshoz használjon VPN-t kétfaktoros hitelesítéssel
-
Állítson be automatikus kizásárást a felhasználói fiókokhoz bizonyos számú sikertelen belépési próbálkozás után. Állítson be várakozási időt a fiók zárolását követő automatikus feloldáshoz
-
Alkalmazzon erős jelszavakat
-
Tiltsa le az általában nem használt és alapértelmezett fiókokat, például a rendszergazda, admin vagy root fiókokat
-
Fehérlistázza azokat a felhasználókat és csoportokat, amelyeknél engedélyezett az RDP használatával történő bejelentkezés
-
Fehérlistázza azokat az IP-címeket, amelyeknél engedélyezett az RDP-kapcsolat
-
-
-
A távoli asztali protokollal (RDP) kapcsolatos gyakorlati tanácsok a támadások ellen
A titkosításon alapuló rosszindulatú programok gyakran a Windowsba integrált Remote Desktop Protocol (RDP) eszközzel férnek hozzá a célgépekhez. Az RDP lehetővé teszi mások számára, hogy távolról csatlakozzanak a rendszerhez, így a támadó visszaélhet az RDP-vel a védelem eltávolítása, majd a rosszindulatú szoftverek telepítése érdekében.
Javasoljuk, hogy tiltsa le vagy módosítsa a Remote Desktop Protocol (Távoli asztali protokoll) eszközt. Ha nincs szüksége az RDP használatára, akkor megváltoztathatja az alapértelmezett portot (3389) vagy letilthatja az RDP-t, hogy megvédje gépét a zsarolóprogramoktól és más RDP-kihasználásával kapcsolatos támadásoktól. Az RDP letiltására vonatkozó utasításokért tekintse meg a Microsoft Knowledge Base vonatkozó bejegyzését:
Az RDP-vel kapcsolatos további információkat a WeLiveSecurity alábbi cikkében talál: Remote Desktop (RDP) Hacking 101: I can see your desktop from here!
-
Védje jelszóval az ESET-termék beállításait
Ha Ön vállalati felhasználó, javasoljuk, hogy védje jelszóval az ESET-termék beállításait az illetéktelen módosításoktól. Ez megakadályozza a védelem kikapcsolását vagy akár az ESET termék eltávolítását. Ha RDP-t használ, javasoljuk, hogy az RDP belépéstől eltérő jelszót használjon.
Az ESET-termék jelszóval történő védelméről az alábbi bejegyzésben olvashat:
Az ESET-termékbeállítások jelszavas védelmének engedélyezése vagy letiltása az ESET PROTECT (8.x-10.x) segítségével
Visszaállíthatók a titkosított fájlok?
A modern zsarolóprogramok aszimmetrikus módszerekkel és többféle titkosítási kódolással titkosítják az adatokat. Röviden, a fájlokat nyilvános kulccsal titkosítják, és a hozzájuk tartozó privát kulcs nélkül nem lehet visszafejteni őket. A jelenlegi zsarolóprogramok esetében a privát kulcs soha nem található az érintett munkaállomáson vagy környezetben. Ez azt jelenti, hogy az adatokat a fertőzés előtt készített biztonsági másolatból kell visszaállítani.
Ha nem állnak rendelkezésre biztonsági másolatok, megkísérelheti a fájlok helyreállítását az árnyékmásolatokból (Shadow Copy). Ehhez használhatja a Shadow Explorer programot, amelyet a következő weboldalról tölthet le: http://www.shadowexplorer.com/downloads.html
Nem ritka azonban, hogy a zsarolóprogram-fertőzések törlik az árnyékmásolatokat, hogy megakadályozzák a fájlok helyreállítását.
Milyen lépéseket kell tennie, ha zsarolóvírussal fertőzött?
-
Válassza le a számítógépet a hálózatról.
-
Keresse meg a TXT- vagy HTML-fájlt a fizetési utasításokkal, például a "How to decrypt shared folders/drives encrypted" néven. Ezt a fejlesztő kutatóink felhasználhatják további elemzéshez.
-
Futtassa az ESET SysRescue programot a fertőzött számítógépen. Csak akkor állítson vissza biztonsági másolatból, ha a fenyegetést azonosította és eltávolította (lásd a fenti, Készítsen biztonsági mentéseket a rendszeréről című részt).
-
Forduljon segítségért az ESET technikai termáktámogatásához.