Probléma
- Bevált gyakorlati lépések segítségével szeretné konfigurálni rendszerét a zsarolóprogramok elleni védelem érdekében
- Az ESET termékkel kapcsolatos gyakorlati tanácsok a zsarolóprogramok elleni védelemhez
- Zsarolóprogramokkal kapcsolatos általános gyakorlati tanácsok
- Titkosított fájlok helyreállítása
Részletek
Kattintson a részletekért
A zsarolóprogramok olyan rosszindulatú szoftverek, amelyek képesek lezárni egy eszközt vagy titkosítani annak tartalmát, hogy pénzt zsaroljanak ki a tulajdonostól az erőforrásokhoz való hozzáférés helyreállításáért cserébe. Ez a fajta kártevő beépített időzítővel is rendelkezhet, amelynek fizetési határidejét be kell tartani, ellenkező esetben az adatok és a hardver feloldásának ára nő - vagy az információk és az eszköz végül végleg hozzáférhetetlenné válik.
A zsarolóprogramok olyan fertőzések, amelyek személyes és adatfájlokat titkosítanak. Általában egy munkaállomást fertőznek meg, majd a zsarolóprogram megpróbálja titkosítani a hozzárendelt megosztott meghajtókat. Ezáltal ez a fertőzés úgy tűnhet, mintha a hálózaton keresztül terjedne, holott nem így van.
Bár a fájljai titkosítva lehetnek, a rendszere nem biztos, hogy fertőzött. Ez akkor lehetséges, ha egy fájlszerveren lévő megosztott meghajtó titkosítva van, de maga a szerver nem tartalmazza a fertőzést (kivéve, ha ez egy terminálszerver).
Példák az ismert zsarolóprogramokra:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) vagy Win32/Filecoder.Locky.A ismeretlen forrásból származó e-mail vagy ilyen e-mailből származó ZIP-fájlok megnyitásával fertőz
- "CryptoLocker", "Cryptowall", "Dirty decrypt", és "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Megoldás
Az ESET termékek jelenlegi verziói többrétegű technológiákat használnak a számítógépek zsarolóprogramok elleni védelmére.
Ilyen technológiák például a Továbbfejlesztett Memóriaellenőrzés, az ESET LiveGrid® Megbízhatósági Rendszer és az Exploit Blokkoló.
A legújabb ESET-termékek emellett egy továbbfejlesztett Botnet elleni védelmi modult is biztosítanak, amely megakadályozza a zsarolóprogramok és az azokat irányító és felügyelő (C&C) szerverek közötti kommunikációt.
Az ESET termékkel kapcsolatos gyakorlati tanácsok a zsarolóprogramok elleni védelemhez
Tartsa bekapcsolva a Továbbfejlesztett Memóriaellenőrzést és az Exploit Blokkolót
Ez a két funkció alapértelmezés szerint engedélyezve van az ESET termékek 5-ös és újabb verzióiban. Ezek az újonnan kifejlesztett ESET-algoritmusok megerősítik a védelmet az olyan rosszindulatú szoftverekkel szemben, amelyeket úgy terveztek, hogy a forráskódjuk értelmezhetetlenné tételével és/vagy titkosításuk segítségével elkerüljék a védelmi programok által történő észlelésüket.
A Továbbfejlesztett Memóriaellenőrzés gyanús viselkedést keres a memóriában lévő rosszindulatú szoftverek észlelését követően, az Exploit Blokkoló pedig a célzott támadások és az eddig még nem ismert, más néven nulladik napi sebezhetőségek elleni védelmet erősíti.
A maximális védelem érdekében javasoljuk, hogy frissítse ESET termékeit a legújabb verzióra:
Otthoni felhasználók: Melyik ESET-termékkel rendelkezem? Ez a legfrissebb verzió? (Otthoni felhasználok)
Vállalati felhasználók: Az ESET vállalati termékek legfrissebb verziójával rendelkezem?
Tartsa bekapcsolva az ESET LiveGrid-et
Az ESET Cloud Malware Védelmi Rendszer az ESET LiveGrid-re épül. Figyeli az ismeretlen és potenciálisan rosszindulatú alkalmazásokat, és a mintákat automatikus sandbox vizsgálatnak és viselkedéselemzésnek veti alá.
Győződjön meg arról, hogy az ESET LiveGrid® Megbízhatósági és az ESET LiveGrid® Visszajelzési Rendszer engedélyezve van és működik.
Tartsa naprakészen az ESET-termékét
Egyre gyakrabban jelennek meg a zsarolóprogramok új változatai, ezért fontos, hogy víruskereső adatbázis-frissítései rendszeresen letöltésre kerüljenek (az ESET-terméke óránként ellenőrzi a frissítéseket, feltéve, hogy érvényes licenccel és működő internetkapcsolattal rendelkezik).
- Otthoni felhasználók: Az ESET-programok frissítése — legújabb programmodulok meglétének ellenőrzése
- Vállalati felhasználók: Az ESET végponti termékek frissítése az egyes végpontokon - a legújabb programmodulok meglétének ellenőrzése
Virtuális gép felhasználók
A zsarolóprogramok elleni legjobb védelem érdekében javasoljuk az ESET Endpoint Security használatát virtuális környezetekben.
Győződjön meg róla, hogy a Zsarolóprogramok elleni védelem engedélyezve van
A Zsarolóprogramok elleni védelem az önvédelmi technológia egy újabb védelmi rétege, amely a Behatolásmegelőző Rendszer (HIPS) részeként működik. További információkért tekintse meg a Zsarolóprogramok elleni védelem szójegyzék-bejegyzést, valamint az ESET-termékekben történő beállításáról szóló Online Súgó bejegyzést.
Eszközöljön további beállításokat a zsarolóprogramok elleni védelemhez az ESET vállalati termékekben manuálisan vagy az ESET PROTECT/ESET PROTECT Cloud házirendek használatával
Értesítések
Zsarolóprogramokkal kapcsolatos általános gyakorlati tanácsok — A fájltitkosítást használó fertőzésekkel (zsarolóprogramokkal) kapcsolatos kockázatok minimalizálása
Készítsen biztonsági mentéseket a rendszeréről
Készítsen rendszeresen biztonsági mentéseket, és legalább egy ilyen biztonsági másolatot tartson offline tárhelyen, hogy megvédje a legfrissebb adatait és munkáit egy esetleges támadástól. Az elkészített biztonsági mentéseket midig tesztelje le, hogy biztos lehessen abban, hogy egy esetleges adatvesztés alkalmával visszaállíthatóak lesznek belőle az állományok.
Felhasználói engedélyek és a jogok korlátozása
Sokféle korlátozás létezik, például az alkalmazások adataihoz való hozzáférés korlátozása, sőt vannak olyanok is, amelyek csoportházirend-objektumként (GPO) előre be vannak építve.
Tiltsa le az AppData és a LocalAppData mappákból futtatott fájlokat.
A Temp alkönyvtárból (alapértelmezés szerint az AppData fastruktúra része) történő végrehajtás blokkolása.
A különböző tömörítő segédprogramok (például a WinZip vagy a 7-Zip) munkakönyvtáraiból futtatott fájlok blokkolása.
Ezenkívül az ESET Endpoint Security/Antivirus, az ESET Mail Security és az ESET Server Security programokban a Behatolásmegelőző rendszeren (HIPS) belül szabályokat hozhat létre, hogy csak bizonyos alkalmazások futtatását engedélyezze a számítógépen, és alapértelmezés szerint blokkolja az összes többit: [KB8018] Behatolásmegelőző rendszer-szabály létrehozása és érvényesítése egy végponton az ESET PROTECT (8.x-10.x) segítségével.
Ne tiltsa le a Felhasználói Fiókok Felügyeletét (UAC)
Ne nyissa meg a faxnak, számlának vagy nyugtának feltüntetett mellékleteket, ha azok gyanús nevet viselnek, vagy ha nem számított az érkezésükre.
Mit tehetek, hogy minimalizáljam a rosszindulatú szoftverek támadásának kockázatát?
Használjon kétfaktoros hitelesítést (2FA)
Ajánljuk az ESET Secure Authentication használatát.
Fenyegetések elleni védelem
Ajánljuk az ESET LiveGuard Advanced használatát.
Makrók letiltása a Microsoft Office-ban csoportházirenddel
Office 2013/2016 (az alábbi hivatkozás 2013-ra vonatkozik, de a 2016-os beállítások ugyanazok): VBA makrók biztonsági beállításai az Office számára
Tartsa naprakészen a rendszerét
Az elérhető legjobb védelem biztosítása érdekében tartsa naprakészen az operációs rendszert és az alkalmazásokat. Telepítse a Windows Update eszközben felkínált legújabb, kiemelt fontosságú frissítéseket, és rendszeresen ellenőrizze, vagy engedélyezze az Automatikus frissítések funkciót. Az új biztonsági frissítések befoltozzák a rendszer sebezhetőségeit, és csökkentik a rosszindulatú programok támadásának kockázatát.
A Microsoft a jelenlegi Windows operációs rendszerekhez és a Windows XP-hez is kiadott javításokat egy kritikus sebezhetőségek mérsékelésére. A frissítések alkalmazására vonatkozó utasításokat a Microsoft MS17-010 - Kritikus biztonsági közleményében olvashatja.
Potenciális portok/szolgáltatások, amelyek kihasználhatók, ha nyitva maradnak
Az ismeretlen IP-címekről történő sikeres Brute Force-támadások megakadályozása érdekében, erősen javasolt az SMB, az SQL és az RDP letiltása.
SMB
Tiltsa le a 135-139-es és a 445-ös fájlmegosztó portokat. Az SMB portokat nem szabad az internet felé engedélyezni
SQL
Fehérlistázza a megbízható IP-címeket, amelyek csatlakozhatnak az SQL-hez
RDP
Akadályozza meg a kívülről érkező RDP Brute Force támadásokat az RDP külső kapcsolatok esetén történő tiltásával. A belső hálózathoz való csatlakozáshoz használjon VPN-t kétfaktoros hitelesítéssel
Állítson be automatikus kizásárást a felhasználói fiókokhoz bizonyos számú sikertelen belépési próbálkozás után. Állítson be várakozási időt a fiók zárolását követő automatikus feloldáshoz
Alkalmazzon erős jelszavakat
Tiltsa le az általában nem használt és alapértelmezett fiókokat, például a rendszergazda, admin vagy root fiókokat
Fehérlistázza azokat a felhasználókat és csoportokat, amelyeknél engedélyezett az RDP használatával történő bejelentkezés
Fehérlistázza azokat az IP-címeket, amelyeknél engedélyezett az RDP-kapcsolat
A távoli asztali protokollal (RDP) kapcsolatos gyakorlati tanácsok a támadások ellen
A titkosításon alapuló rosszindulatú programok gyakran a Windowsba integrált Remote Desktop Protocol (RDP) eszközzel férnek hozzá a célgépekhez. Az RDP lehetővé teszi mások számára, hogy távolról csatlakozzanak a rendszerhez, így a támadó visszaélhet az RDP-vel a védelem eltávolítása, majd a rosszindulatú szoftverek telepítése érdekében.
Javasoljuk, hogy tiltsa le vagy módosítsa a Remote Desktop Protocol (Távoli asztali protokoll) eszközt. Ha nincs szüksége az RDP használatára, akkor megváltoztathatja az alapértelmezett portot (3389) vagy letilthatja az RDP-t, hogy megvédje gépét a zsarolóprogramoktól és más RDP-kihasználásával kapcsolatos támadásoktól. Az RDP letiltására vonatkozó utasításokért tekintse meg a Microsoft Knowledge Base vonatkozó bejegyzését:
Az RDP-vel kapcsolatos további információkat a WeLiveSecurity alábbi cikkében talál: Remote Desktop (RDP) Hacking 101: I can see your desktop from here!
Védje jelszóval az ESET-termék beállításait
Ha Ön vállalati felhasználó, javasoljuk, hogy védje jelszóval az ESET-termék beállításait az illetéktelen módosításoktól. Ez megakadályozza a védelem kikapcsolását vagy akár az ESET termék eltávolítását. Ha RDP-t használ, javasoljuk, hogy az RDP belépéstől eltérő jelszót használjon.
Az ESET-termék jelszóval történő védelméről az alábbi bejegyzésben olvashat:
Az ESET-termékbeállítások jelszavas védelmének engedélyezése vagy letiltása az ESET PROTECT (8.x-10.x) segítségével
Visszaállíthatók a titkosított fájlok?
A modern zsarolóprogramok aszimmetrikus módszerekkel és többféle titkosítási kódolással titkosítják az adatokat. Röviden, a fájlokat nyilvános kulccsal titkosítják, és a hozzájuk tartozó privát kulcs nélkül nem lehet visszafejteni őket. A jelenlegi zsarolóprogramok esetében a privát kulcs soha nem található az érintett munkaállomáson vagy környezetben. Ez azt jelenti, hogy az adatokat a fertőzés előtt készített biztonsági másolatból kell visszaállítani.
Ha nem állnak rendelkezésre biztonsági másolatok, megkísérelheti a fájlok helyreállítását az árnyékmásolatokból (Shadow Copy). Ehhez használhatja a Shadow Explorer programot, amelyet a következő weboldalról tölthet le: http://www.shadowexplorer.com/downloads.html
Nem ritka azonban, hogy a zsarolóprogram-fertőzések törlik az árnyékmásolatokat, hogy megakadályozzák a fájlok helyreállítását.
Milyen lépéseket kell tennie, ha zsarolóvírussal fertőzött?
Válassza le a számítógépet a hálózatról.
Keresse meg a TXT- vagy HTML-fájlt a fizetési utasításokkal, például a "How to decrypt shared folders/drives encrypted" néven. Ezt a fejlesztő kutatóink felhasználhatják további elemzéshez.
Futtassa az ESET SysRescue programot a fertőzött számítógépen. Csak akkor állítson vissza biztonsági másolatból, ha a fenyegetést azonosította és eltávolította (lásd a fenti, Készítsen biztonsági mentéseket a rendszeréről című részt).
Forduljon segítségért az ESET technikai termáktámogatásához.
