[KB3433] Gyakorlati tanácsok a zsarolóprogramok elleni védelemhez

Probléma

Részletek


Kattintson a részletekért


A zsarolóprogramok olyan rosszindulatú szoftverek, amelyek képesek lezárni egy eszközt vagy titkosítani annak tartalmát, hogy pénzt zsaroljanak ki a tulajdonostól az erőforrásokhoz való hozzáférés helyreállításáért cserébe. Ez a fajta kártevő beépített időzítővel is rendelkezhet, amelynek fizetési határidejét be kell tartani, ellenkező esetben az adatok és a hardver feloldásának ára nő - vagy az információk és az eszköz végül végleg hozzáférhetetlenné válik.

A zsarolóprogramok olyan fertőzések, amelyek személyes és adatfájlokat titkosítanak. Általában egy munkaállomást fertőznek meg, majd a zsarolóprogram megpróbálja titkosítani a hozzárendelt megosztott meghajtókat. Ezáltal ez a fertőzés úgy tűnhet, mintha a hálózaton keresztül terjedne, holott nem így van.

Bár a fájljai titkosítva lehetnek, a rendszere nem biztos, hogy fertőzött. Ez akkor lehetséges, ha egy fájlszerveren lévő megosztott meghajtó titkosítva van, de maga a szerver nem tartalmazza a fertőzést (kivéve, ha ez egy terminálszerver).

Példák az ismert zsarolóprogramokra:


Megoldás

Az ESET termékek jelenlegi verziói többrétegű technológiákat használnak a számítógépek zsarolóprogramok elleni védelmére.

Ilyen technológiák például a Továbbfejlesztett Memóriaellenőrzés, az ESET LiveGrid® Megbízhatósági Rendszer és az Exploit Blokkoló.

A legújabb ESET-termékek emellett egy továbbfejlesztett Botnet elleni védelmi modult is biztosítanak, amely megakadályozza a zsarolóprogramok és az azokat irányító és felügyelő (C&C) szerverek közötti kommunikációt. 


Az ESET termékkel kapcsolatos gyakorlati tanácsok a zsarolóprogramok elleni védelemhez


Zsarolóprogramokkal kapcsolatos általános gyakorlati tanácsok — A fájltitkosítást használó fertőzésekkel (zsarolóprogramokkal) kapcsolatos kockázatok minimalizálása

  • Készítsen biztonsági mentéseket a rendszeréről

    Készítsen rendszeresen biztonsági mentéseket, és legalább egy ilyen biztonsági másolatot tartson offline tárhelyen, hogy megvédje a legfrissebb adatait és munkáit egy esetleges támadástól. Az elkészített biztonsági mentéseket midig tesztelje le, hogy biztos lehessen abban, hogy egy esetleges adatvesztés alkalmával visszaállíthatóak lesznek belőle az állományok.

  • Felhasználói engedélyek és a jogok korlátozása

    Sokféle korlátozás létezik, például az alkalmazások adataihoz való hozzáférés korlátozása, sőt vannak olyanok is, amelyek csoportházirend-objektumként (GPO) előre be vannak építve.

    • Tiltsa le az AppData és a LocalAppData mappákból futtatott fájlokat.

    • A Temp alkönyvtárból (alapértelmezés szerint az AppData fastruktúra része) történő végrehajtás blokkolása.

    • A különböző tömörítő segédprogramok (például a WinZip vagy a 7-Zip) munkakönyvtáraiból futtatott fájlok blokkolása.

      Ezenkívül az ESET Endpoint Security/Antivirus, az ESET Mail Security és az ESET Server Security programokban a Behatolásmegelőző rendszeren (HIPS) belül szabályokat hozhat létre, hogy csak bizonyos alkalmazások futtatását engedélyezze a számítógépen, és alapértelmezés szerint blokkolja az összes többit: [KB8018] Behatolásmegelőző rendszer-szabály létrehozása és érvényesítése egy végponton az ESET PROTECT (8.x-10.x) segítségével.

  • Ne tiltsa le a Felhasználói Fiókok Felügyeletét (UAC)

    Ne nyissa meg a faxnak, számlának vagy nyugtának feltüntetett mellékleteket, ha azok gyanús nevet viselnek, vagy ha nem számított az érkezésükre.

    Mit tehetek, hogy minimalizáljam a rosszindulatú szoftverek támadásának kockázatát?

  • Használjon kétfaktoros hitelesítést (2FA)

    Ajánljuk az ESET Secure Authentication használatát.

  • Fenyegetések elleni védelem

    Ajánljuk az ESET LiveGuard Advanced használatát.

  • Makrók letiltása a Microsoft Office-ban csoportházirenddel

    Office 2013/2016 (az alábbi hivatkozás 2013-ra vonatkozik, de a 2016-os beállítások ugyanazok): VBA makrók biztonsági beállításai az Office számára

  • Tartsa naprakészen a rendszerét

    Az elérhető legjobb védelem biztosítása érdekében tartsa naprakészen az operációs rendszert és az alkalmazásokat. Telepítse a Windows Update eszközben felkínált legújabb, kiemelt fontosságú frissítéseket, és rendszeresen ellenőrizze, vagy engedélyezze az Automatikus frissítések funkciót. Az új biztonsági frissítések befoltozzák a rendszer sebezhetőségeit, és csökkentik a rosszindulatú programok támadásának kockázatát.

    A Microsoft a jelenlegi Windows operációs rendszerekhez és a Windows XP-hez is kiadott javításokat egy kritikus sebezhetőségek mérsékelésére. A frissítések alkalmazására vonatkozó utasításokat a Microsoft MS17-010 - Kritikus biztonsági közleményében olvashatja.

  • Potenciális portok/szolgáltatások, amelyek kihasználhatók, ha nyitva maradnak

    Az ismeretlen IP-címekről történő sikeres Brute Force-támadások megakadályozása érdekében, erősen javasolt az SMB, az SQL és az RDP letiltása.

    1. SMB

      Tiltsa le a 135-139-es és a 445-ös fájlmegosztó portokat. Az SMB portokat nem szabad az internet felé engedélyezni

    2. SQL

      Fehérlistázza a megbízható IP-címeket, amelyek csatlakozhatnak az SQL-hez

    3. RDP

      • Akadályozza meg a kívülről érkező RDP Brute Force támadásokat az RDP külső kapcsolatok esetén történő tiltásával. A belső hálózathoz való csatlakozáshoz használjon VPN-t kétfaktoros hitelesítéssel

      • Állítson be automatikus kizásárást a felhasználói fiókokhoz bizonyos számú sikertelen belépési próbálkozás után. Állítson be várakozási időt a fiók zárolását követő automatikus feloldáshoz

      • Alkalmazzon erős jelszavakat

      • Tiltsa le az általában nem használt és alapértelmezett fiókokat, például a rendszergazda, admin vagy root fiókokat

      • Fehérlistázza azokat a felhasználókat és csoportokat, amelyeknél engedélyezett az RDP használatával történő bejelentkezés

      • Fehérlistázza azokat az IP-címeket, amelyeknél engedélyezett az RDP-kapcsolat

  • A távoli asztali protokollal (RDP) kapcsolatos gyakorlati tanácsok a támadások ellen

    A titkosításon alapuló rosszindulatú programok gyakran a Windowsba integrált Remote Desktop Protocol (RDP) eszközzel férnek hozzá a célgépekhez. Az RDP lehetővé teszi mások számára, hogy távolról csatlakozzanak a rendszerhez, így a támadó visszaélhet az RDP-vel a védelem eltávolítása, majd a rosszindulatú szoftverek telepítése érdekében.

    Javasoljuk, hogy tiltsa le vagy módosítsa a Remote Desktop Protocol (Távoli asztali protokoll) eszközt. Ha nincs szüksége az RDP használatára, akkor megváltoztathatja az alapértelmezett portot (3389) vagy letilthatja az RDP-t, hogy megvédje gépét a zsarolóprogramoktól és más RDP-kihasználásával kapcsolatos támadásoktól. Az RDP letiltására vonatkozó utasításokért tekintse meg a Microsoft Knowledge Base vonatkozó bejegyzését:

    Az RDP-vel kapcsolatos további információkat a WeLiveSecurity alábbi cikkében talál: Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

  • Védje jelszóval az ESET-termék beállításait

    Ha Ön vállalati felhasználó, javasoljuk, hogy védje jelszóval az ESET-termék beállításait az illetéktelen módosításoktól. Ez megakadályozza a védelem kikapcsolását vagy akár az ESET termék eltávolítását. Ha RDP-t használ, javasoljuk, hogy az RDP belépéstől eltérő jelszót használjon.

    Az ESET-termék jelszóval történő védelméről az alábbi bejegyzésben olvashat:

    Az ESET-termékbeállítások jelszavas védelmének engedélyezése vagy letiltása az ESET PROTECT (8.x-10.x) segítségével

Visszaállíthatók a titkosított fájlok?

A modern zsarolóprogramok aszimmetrikus módszerekkel és többféle titkosítási kódolással titkosítják az adatokat. Röviden, a fájlokat nyilvános kulccsal titkosítják, és a hozzájuk tartozó privát kulcs nélkül nem lehet visszafejteni őket. A jelenlegi zsarolóprogramok esetében a privát kulcs soha nem található az érintett munkaállomáson vagy környezetben. Ez azt jelenti, hogy az adatokat a fertőzés előtt készített biztonsági másolatból kell visszaállítani.

Ha nem állnak rendelkezésre biztonsági másolatok, megkísérelheti a fájlok helyreállítását az árnyékmásolatokból (Shadow Copy). Ehhez használhatja a Shadow Explorer programot, amelyet a következő weboldalról tölthet le: http://www.shadowexplorer.com/downloads.html

Nem ritka azonban, hogy a zsarolóprogram-fertőzések törlik az árnyékmásolatokat, hogy megakadályozzák a fájlok helyreállítását.

Milyen lépéseket kell tennie, ha zsarolóvírussal fertőzött?
  1. Válassza le a számítógépet a hálózatról.

  2. Keresse meg a TXT- vagy HTML-fájlt a fizetési utasításokkal, például a "How to decrypt shared folders/drives encrypted" néven. Ezt a fejlesztő kutatóink felhasználhatják további elemzéshez.

  3. Futtassa az ESET SysRescue programot a fertőzött számítógépen. Csak akkor állítson vissza biztonsági másolatból, ha a fenyegetést azonosította és eltávolította (lásd a fenti, Készítsen biztonsági mentéseket a rendszeréről című részt).

  4. Forduljon segítségért az ESET technikai termáktámogatásához.