[KB3433] Legjobb gyakorlatok a zsarolóprogramok elleni védelemhez

JEGYZET:

Ezt az oldalt egy számítógép fordította le. Az eredeti szöveg megjelenítéséhez kattintson az oldalon a Nyelvek menüpont alatt az angolra. Ha bármi nem világos, kérjük, forduljon a helyi ügyfélszolgálathoz.

Kiadvány

Részletek

Kattintson a bővítéshez


A zsarolóprogramok olyan rosszindulatú programok, amelyek képesek lezárni egy eszközt vagy titkosítani annak tartalmát, hogy pénzt zsaroljanak ki a tulajdonostól az erőforrásokhoz való hozzáférés helyreállításáért cserébe. Ez a fajta malware beépített időzítővel is rendelkezhet, amelynek fizetési határidejét be kell tartani; ellenkező esetben az adatok és a hardver feloldásának ára nő - vagy az információk és az eszköz végül végleg hozzáférhetetlenné válik.

A zsarolóprogramok olyan fertőzések, amelyek személyes és adatfájlokat titkosítanak. Általában egy munkaállomást fertőznek meg, majd a zsarolóprogram megpróbálja titkosítani a hozzárendelt megosztott meghajtókat. Ezáltal ez a fertőzés úgy tűnhet, mintha a hálózaton keresztül terjedne, holott nem így van.

Bár a fájljai titkosítva lehetnek, a rendszere nem biztos, hogy fertőzött. Ez akkor lehetséges, ha egy fájlkiszolgálón lévő megosztott meghajtó titkosítva van, de maga a kiszolgáló nem tartalmazza a rosszindulatú fertőzést (kivéve, ha ez egy terminálszerver).

További példák az ismert zsarolóprogramokra:

  • Win32/Filecoder
  • Filecoder.WannaCryptor
  • Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) vagy Win32/Filecoder.Locky.A fertőzés ismeretlen forrásból származó e-mail vagy ilyen e-mailből származó ZIP-fájlok megnyitása után
  • "CryptoLocker", "Cryptowall", "Dirty decrypt" és "CTB locker"
  • Win32/TrojanDownload.Elenoocka.A
  • Win32/Gpcode

Megoldás

Az ESET termékek jelenlegi verziói többrétegű technológiákat használnak a számítógépek zsarolóprogramok elleni védelmére.

Ilyen technológiák például az Advanced Memory Scanner, az ESET LiveGrid® Reputation System és az Exploit Blocker.

A legújabb ESET-termékek emellett egy továbbfejlesztett botnet-védelmi modult is biztosítanak, amely blokkolja a váltságdíjas szoftverek és a Command and Control (C&C) szerverek közötti kommunikációt.

Általános ESET termékes transzverzió elleni legjobb gyakorlatok

  • Tartsa bekapcsolva a Speciális memóriaszkennert és az Exploit Blockert

    Ez a két funkció alapértelmezés szerint engedélyezve van az ESET termékek 5. és újabb verzióiban. Ezek az újonnan kifejlesztett ESET-algoritmusok megerősítik a védelmet az olyan rosszindulatú szoftverekkel szemben, amelyeket úgy terveztek, hogy a rosszindulatú szoftverek elleni termékek felismerését elhomályosítás és/vagy titkosítás segítségével kikerüljék.

    Az Advanced Memory Scanner gyanús viselkedést keres a memóriában lévő rosszindulatú szoftverek leleplezése után, az Exploit Blocker pedig a célzott támadások és a korábban nem látott sebezhetőségek, más néven nulladik napi sebezhetőségek elleni védelmet erősíti.

    A maximális védelem érdekében javasoljuk, hogy frissítse ESET termékeit a legújabb verzióra:

  • Tartsa engedélyezve az ESET LiveGridet

    Az ESET felhőalapú rosszindulatú szoftverek elleni védelmi rendszer az ESET LiveGridre épül. Figyeli az ismeretlen és potenciálisan rosszindulatú alkalmazásokat, és a mintákat automatikus homokdobozolásnak és viselkedéselemzésnek veti alá.

    Győződjön meg arról, hogy ESET LiveGrid® hírnév és ESET LiveGrid® visszajelző rendszer engedélyezve van és működik az ESET termékében.

  • Tartsa naprakészen az ESET-et

    A meglévő zsarolóprogramok új változatai gyakran jelennek meg, ezért fontos, hogy rendszeresen frissítse a vírusadatbázist (az ESET termék óránként ellenőrzi a frissítéseket, feltéve, hogy érvényes licenccel és működő internetkapcsolattal rendelkezik).

  • Virtuális gépek felhasználói

    A zsarolóvírus-kártékony programok elleni legjobb védelem érdekében javasoljuk az ESET Endpoint Security használatát virtuális környezetekben.

  • Győződjön meg róla, hogy a Ransomware Shield engedélyezve van

    A Ransomware Shield az önvédelmi technológia részeként egy újabb védelmi réteg, amely a HIPS funkció részeként működik. További információért lásd a Ransomware Shield az ESET Glossary című fejezetben, valamint az ESET termékekben történő konfigurálásáról.

  • További beállítások konfigurálása a zsarolóvírus elleni védelemhez az ESET üzleti termékekben manuálisan vagy az ESET PROTECT On-Prem/ESET PROTECT Policy használatával

  • Értesítések

Általános legjobb gyakorlatok a zsarolóvírusok ellen - A titkosítás-alapú rosszindulatú programok (zsarolóvírusok) kockázatának minimalizálása

  • Tartson biztonsági mentéseket a rendszeréről

    Tervezze meg, hogy rendszeresen készít biztonsági mentéseket rendszeréről, és legalább egy ilyen biztonsági másolatot tartson offline tárolóban, hogy megvédje legfrissebb munkáját egy támadástól.

  • Felhasználói engedélyek és a jogok korlátozása

    Sokféle korlátozás létezik, például az alkalmazások adataihoz való hozzáférés korlátozása, sőt vannak olyanok is, amelyek csoportházirend-objektumként (GPO) előre be vannak építve.

    • Tiltsa le az AppData és a LocalAppData mappákból futtatott fájlokat.

    • A Temp alkönyvtárból (alapértelmezés szerint az AppData fa része) történő végrehajtás blokkolása.

    • A különböző dekompressziós segédprogramok (például a WinZip vagy a 7-Zip) munkakönyvtáraiból futtatott futtatható fájlok blokkolása.

      Ezenkívül az ESET Endpoint Security/Antivirus, az ESET Mail Security és az ESET File Security programokban létrehozhat olyan HIPS-szabályokat, amelyek csak bizonyos alkalmazások futtatását engedélyezik a számítógépen, az összes többit pedig alapértelmezés szerint blokkolják: HIPS-szabály létrehozása és érvényesítése egy ügyfél munkaállomáson az ESET PROTECT On-Prem használatával.

  • Ne tiltsa le a felhasználói fiókvezérlést (UAC)

    Ne nyissa meg a faxnak, számlának vagy nyugtának feltüntetett mellékleteket, ha azok gyanús nevet viselnek, vagy ha nem számított a fogadásukra.

    #@##publication_url id='120' target='_blank' content='Mit tehetek a rosszindulatú szoftverek támadásának kockázatának minimalizálása érdekében?' focus=''#@#

  • Kétfaktoros hitelesítés (2FA) használata

    Az ESET Secure Authentication szolgáltatást ajánljuk.

  • Fenyegetés elleni védelem

    Az ESET LiveGuard Advanced programot ajánljuk.

  • Makrók letiltása a Microsoft Office-ban csoportházirenddel

    Office 2013/2016 (az alábbi link 2013-ra vonatkozik, de a 2016-os beállítások ugyanazok): VBA makrók biztonsági beállításainak tervezése az Office számára

  • Tartsa naprakészen a rendszerét

    Az elérhető legjobb védelem biztosítása érdekében tartsa naprakészen operációs rendszerét és alkalmazásait. Telepítse a Windows Update eszközben felkínált legújabb, kiemelt fontosságú frissítéseket, és rendszeresen ellenőrizze, vagy engedélyezze az Automatikus frissítések funkciót. Az új biztonsági frissítések befoltozzák a rendszer sebezhetőségeit, és csökkentik a rosszindulatú programok támadásának kockázatát.

  • Potenciális portok/szolgáltatások, amelyek kihasználhatók, ha nyitva hagyják őket

    Annak megakadályozása érdekében, hogy egy ismeretlen IP-cím sikeres Brute Force-támadást hajtson végre, erősen javasoljuk az SMB, az SQL és az RDP portok lezárását.

    1. SMB

      Zárja le a 135-139-es és a 445-ös fájlmegosztó portokat. Az SMB portokat nem szabad az internet felé kitenni.

    2. SQL

      Válassza ki a megbízható IP-címek fehérlistáját, amelyek csatlakozhatnak az SQL-hez

    3. RDP

      • Állítsa meg a külső RDP Brute Force támadásokat az RDP külső kapcsolatok előtt történő lezárásával. Használjon VPN-t kéttényezős hitelesítéssel a belső hálózathoz való csatlakozáshoz.

      • Állítson be automatikus fióklezárást bizonyos számú sikertelen próbálkozás után. Várakozási idő beiktatása az automatikus feloldáshoz, miután a fiókot zárolták.

      • Erős jelszavak alkalmazása

      • Tiltja le a gyakran nem használt és alapértelmezett fiókokat, például a rendszergazda, admin vagy root fiókokat

      • Bizonyos felhasználók és csoportok fehérlistára helyezése az RDP használatával történő bejelentkezés engedélyezéséhez

      • Bizonyos IP-címek fehérlistára helyezése az RDP-kapcsolat engedélyezéséhez

  • A távoli asztali protokoll legjobb gyakorlatai a támadások ellen

    A titkosításon alapuló rosszindulatú programok gyakran a Windowsba integrált Remote Desktop Protocol (RDP) eszközzel férnek hozzá a célgépekhez. Az RDP lehetővé teszi mások számára, hogy távolról csatlakozzanak a rendszerhez, így a támadó visszaélhet az RDP-vel a védelem eltávolítására, majd a rosszindulatú szoftverek telepítésére.

    Javasoljuk, hogy tiltsa le vagy módosítsa a Remote Desktop Protocol (Távoli asztali protokoll) eszközt. Ha nincs szüksége az RDP használatára, akkor megváltoztathatja az alapértelmezett portot (3389) vagy letilthatja az RDP-t, hogy megvédje gépét a zsarolóprogramoktól és más RDP-kihasználásoktól. Az RDP letiltására vonatkozó utasításokat az alábbi megfelelő Microsoft Knowledge Base cikkben találja:

    Az RDP-vel kapcsolatos további információkat a WeLiveSecurity alábbi cikkében talál: Távoli asztali (RDP) hackelés 101: Innen is látom az asztalát!

  • Jelszóval védje az ESET termékbeállításait

    Ha Ön üzleti felhasználó, javasoljuk, hogy jelszóval védje meg az ESET terméket attól, hogy egy támadó megváltoztassa. Ez megakadályozza a beállítások jogosulatlan módosítását, a védelem kikapcsolását vagy akár az ESET termék eltávolítását. Ha RDP-t használ, javasoljuk, hogy az RDP bejelentkezési adatokhoz használt jelszótól eltérő jelszót használjon.

    További információért lásd: hogyan védje jelszóval ESET termékét.

Visszaállíthatók a titkosított fájlok?

A modern zsarolóprogramok aszimmetrikus módszerekkel és többféle titkosítási kódolással titkosítják az adatokat. Röviden, a fájlokat nyilvános kulccsal titkosítják, és a hozzájuk tartozó privát kulcs nélkül nem lehet visszafejteni. A jelenlegi zsarolóprogramok esetében a privát kulcs soha nem található az érintett munkaállomáson vagy környezetben. Ez azt jelenti, hogy az adatokat a fertőzés előtt készített biztonsági másolatból kell visszaállítani.

Ha nem állnak rendelkezésre biztonsági másolatok, megkísérelheti a fájlok helyreállítását az árnyékmásolatokból. Ehhez használhatja a Shadow Explorer programot, amelyet a következő weboldalról tölthet le: http://www.shadowexplorer.com/downloads.html

Nem ritka azonban, hogy a zsarolóprogram-fertőzések törlik az árnyékmásolatokat, hogy megakadályozzák a fájlok helyreállítását.

Milyen lépéseket kell tennie, ha zsarolóvírussal fertőzött?

  1. Kapcsolja le a számítógépet a hálózatról.

  2. Keresse meg a TXT- vagy HTML-fájlt a fizetési utasításokkal, például a "Hogyan kell visszafejteni" titkosított megosztott mappákat/meghajtókat. Ezt a rosszindulatú szoftverek kutatói felhasználhatják további elemzéshez.

  3. #@##publication_url id='1232' target='_blank' content='Contact your local ESET partner for support' focus=''#@#.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Utolsó frissítés: 2025. nov. 3.

További lehetőségek:

Felhasználói kézikönyvek

ESET Security Forum

Tudásbázis videók
ESET Status Portal ESET Technical Support

Meglévő ügyfél?
Kapcsolat Adatkezelés ÁSZF Partneroldalak Oldaltérkép Sütik kezelése

1992–2025 ESET, spol. s r.o. Minden jog fenntartva. Az itt használt védjegyek, szerzői jog által védett tartalmak az ESET, spol. s r.o. vagy az ESET Észak-Amerika illetve a Sicontact Kft márkajegyei vagy védjegyei, illetve szerzői jog vagy egyéb jogszabály által védett tartalmai. Az ESET termékek kizárólagos magyarországi disztribútora a Sicontact Kft.