Kiadvány
- A legjobb gyakorlatok szerint szeretné konfigurálni a rendszerét a zsarolóvírusos rosszindulatú szoftverek elleni védelem érdekében
- Általános ESET alkalmazás zsarolóvírus elleni legjobb gyakorlatok
- Általános gyakorlatok a zsarolóvírusok elleni védelemben
- A titkosított fájlok helyreállítása
Részletek
Kattintson a bővítéshez
A zsarolóprogramok olyan rosszindulatú szoftverek, amelyek képesek lezárni egy eszközt vagy titkosítani annak tartalmát, hogy pénzt zsaroljanak ki a tulajdonostól az erőforrásokhoz való hozzáférés helyreállításáért cserébe. Ez a fajta rosszindulatú szoftver tartalmazhat egy beépített időzítőt is, amelynek fizetési határidejét be kell tartani; ellenkező esetben az adatok és a hardver feloldásának ára nő, vagy az információk és az eszköz végül végleg hozzáférhetetlenné válik.
A ransomware olyan fertőzés, amely titkosítja a személyes és adatfájlokat. Általában egy munkaállomás fertőződik meg, majd a zsarolóprogram megpróbálja titkosítani a hozzárendelt megosztott meghajtókat. Ezáltal ez a fertőzés úgy tűnhet, mintha a hálózaton keresztül terjedne, holott nem így van.
Bár a fájljai titkosítva lehetnek, a rendszere nem biztos, hogy fertőzött. Ez akkor lehetséges, ha egy fájlkiszolgálón lévő megosztott meghajtó titkosítva van, de maga a kiszolgáló nem tartalmazza a rosszindulatú fertőzést (kivéve, ha ez egy terminálszerver).
További példák az ismert zsarolóprogramokra:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) vagy "Win32/Filecoder.Locky.A" fertőzés ismeretlen forrásból származó e-mail vagy ilyen e-mailből származó ZIP fájlok megnyitása után
- "CryptoLocker", "Cryptowall", "Dirty decrypt" és "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Megoldás
Az ESET alkalmazások jelenlegi verziói többrétegű technológiákat használnak a számítógépek zsarolóprogramok elleni védelmére.
Ilyen technológiák például az Advanced Memory Scanner, az ESET LiveGrid® Reputation System és az Exploit Blocker.
A legújabb ESET-alkalmazások emellett egy továbbfejlesztett botnet-védelmi modult is biztosítanak, amely blokkolja a váltságdíjas szoftverek és a Command and Control (C&C) szerverek közötti kommunikációt.
Általános ESET alkalmazás-zsarolóprogram-ellenes legjobb gyakorlatok
- Engedélyezze a PUA-k (potenciálisan nem kívánt alkalmazások) észlelését
Kövesse a hivatkozott cikkben található utasításokat a nem kívánt, nem biztonságos és gyanús alkalmazások, például RMM (távfelügyeleti és távkezelési) eszközök, sebezhető illesztőprogramok, hálózati szkennerek és egyéb olyan szoftverek észleléséhez, amelyek biztonsági kockázatot jelenthetnek a rendszerére. Bár ezek az eszközök lehetnek megbízható, aláírt és törvényes, sőt, akár beépített rendszerszintű segédprogramok is, a támadók széles körben visszaélnek velük a zsarolóprogramok behatolásai során. További információk a potenciálisan nem kívánt alkalmazásokról és a potenciálisan nem kívánt tartalmakról.
-
Tartsa bekapcsolva a Speciális memóriaszkennert és az Exploit Blockert
Ezek az újonnan kifejlesztett ESET-algoritmusok megerősítik a védelmet az olyan rosszindulatú szoftverekkel szemben, amelyeket úgy terveztek, hogy a rosszindulatú szoftverek elleni termékek felismerését elhomályosítás és/vagy titkosítás révén kikerüljék.
Az Advanced Memory Scanner a memóriában lévő rosszindulatú szoftverek leleplezése után keresi a gyanús viselkedést, az Exploit Blocker pedig a célzott támadások és a korábban nem látott sebezhetőségek, más néven nulladik napi sebezhetőségek elleni védelmet erősíti.
A maximális védelem érdekében javasoljuk, hogy frissítse ESET alkalmazásait a legújabb verzióra:
- Otthoni felhasználók: Ellenőrizze az ESET otthoni vagy kis irodai termékének legújabb verzióját (Windows)
- Üzleti felhasználók: Ellenőrizze az ESET üzleti termékek legújabb verzióját (Windows)
-
Tartsa engedélyezve az ESET LiveGrid®-t
Az ESET Cloud rosszindulatú szoftverek elleni védelmi rendszer az ESET LiveGrid®-en alapul. Figyeli az ismeretlen és potenciálisan rosszindulatú alkalmazásokat, és a mintákat automatikus homokdobozolásnak és viselkedéselemzésnek veti alá.
Győződjön meg róla, hogy ESET LiveGrid® hírneve és ESET LiveGrid® visszajelző rendszere engedélyezve van és működik az ESET termékében.
-
Tartsa naprakészen az ESET-et
A meglévő zsarolóprogramok új változatai gyakran jelennek meg, ezért fontos, hogy rendszeresen frissítse a vírusadatbázist (az ESET alkalmazás óránként ellenőrzi a frissítéseket, feltéve, hogy érvényes előfizetéssel és működő internetkapcsolattal rendelkezik).
- Otthoni felhasználók: #@##publication_url id='13' target='_blank' content='Frissítse ESET otthoni vagy kis irodai Windows termékét' focus=''#@#
- Üzleti felhasználók: ESET végponti termékek frissítése az egyes ügyfél munkaállomásokon - ellenőrizze a legújabb termékmodulokat
-
Virtuális gépek felhasználói
A zsarolóvírus-kártékony programok elleni legjobb védelem érdekében javasoljuk az ESET Endpoint Security for Windows használatát virtuális környezetekben.
-
Győződjön meg róla, hogy a Ransomware Shield engedélyezve van
A Ransomware Shield egy önvédelmi technológia részeként a HIPS funkció részeként működő újabb védelmi réteg. További információkért lásd a Ransomware Shield az ESET szójegyzékében, valamint az ESET alkalmazásokban történő konfigurálásáról.
-
További beállítások konfigurálása a zsarolóprogramok elleni védelemhez az ESET üzleti termékekben manuálisan vagy az ESET PROTECT On-Prem/ESET PROTECT Policy használatával
- #@##publication_url id='1090' language='1' content='HIPS-szabályok konfigurálása ESET üzleti termékekhez' target='_blank'#@#
- Configure Firewall rules for ESET Endpoint Security
- ESET Mail Security konfigurálása Microsoft Exchange Serverhez
-
Értesítések
Minimalizálja a titkosítás-alapú rosszindulatú programok (zsarolóprogramok) kockázatát
-
Biztonsági mentések készítése a rendszeréről
Tervezze meg, hogy rendszeresen készít biztonsági mentést rendszeréről, és tartson legalább egy biztonsági másolatot offline tárolóban, hogy megvédje legfrissebb munkáját egy támadástól.
-
Felhasználói engedélyek és a jogok korlátozása
Sokféle korlátozás létezik, például az alkalmazások adataihoz való hozzáférés korlátozása, sőt vannak olyanok is, amelyek csoportházirend-objektumként (GPO) előre be vannak építve.
- Tiltsa le az AppData és a LocalAppData mappákból futtatott fájlokat.
- A Temp alkönyvtárból (alapértelmezés szerint az AppData fa része) történő végrehajtás blokkolása.
- A különböző dekompressziós segédprogramok (például a WinZip vagy a 7-Zip) munkakönyvtáraiból futtatott futtatható fájlok blokkolása.
- Ezenkívül az ESET Endpoint Security for Windows, az ESET Mail Security for Microsoft Exchange Server és az ESET Server Security for Microsoft Windows Server programokban létrehozhat olyan HIPS-szabályokat, amelyek csak bizonyos alkalmazások futtatását engedélyezik a számítógépen, az összes többit pedig alapértelmezés szerint blokkolják: #@##publication_url id='3277' language='' content='HIPS-szabály létrehozása és érvényesítése egy ügyfél munkaállomáson az ESET PROTECT On-Prem használatával' target='_self'#@#.
-
Ne tiltsa le a felhasználói fiókvezérlést (UAC)
Ne nyissa meg a faxnak, számlának vagy nyugtának feltüntetett mellékleteket, ha azok gyanús nevet viselnek, vagy ha nem számított a fogadásukra.
#@##publication_url id='120' target='_blank' content='Minimalizálja a rosszindulatú programok támadásának kockázatát.' focus=''#@#
-
Használjon kétfaktoros hitelesítést (2FA)
Az ESET Secure Authentication-t ajánljuk, amely felhőalapú vagy helyben lévő komponensként is használható. További információkért látogasson el az ESET online súgójába .
-
Fenyegetés elleni védelem
Az ESET LiveGuard Advanced szolgáltatást ajánljuk.
-
Makrók (VBA) letiltása a Microsoft Office-ban csoportházirenddel
Microsoft Office 2019 és korábbi verziók: Az Office VBA makrók biztonsági beállításainak tervezése
A Microsoft Office 365 az Office Cloud Policy Service (OCPS) segítségével olyan házirendeket érvényesít, amelyek blokkolják a makrók végrehajtását az Office fájlokban az internetről.
-
Tartsa naprakészen a rendszert
Az elérhető legjobb védelem biztosítása érdekében tartsa naprakészen az operációs rendszert és az alkalmazásokat. Telepítse a Windows Update eszközben kínált legújabb, kiemelt fontosságú frissítéseket, és rendszeresen ellenőrizze, vagy engedélyezze az Automatikus frissítések funkciót. Az új biztonsági frissítések befoltozzák a rendszer sebezhetőségeit, és csökkentik a rosszindulatú programok támadásainak kockázatát.
-
Potenciális portok/szolgáltatások, amelyek kihasználhatók, ha nyitva hagyják őket
Annak megakadályozása érdekében, hogy ismeretlen IP-címek sikeres Brute-Force-támadásokat hajtsanak végre, erősen ajánlott az SMB, az SQL és az RDP portok lezárása.
Szolgáltatás Ajánlások SMB Zárja le a 135-139-es és a 445-ös fájlmegosztó portokat. Az SMB portokat nem szabad az internet felé kitenni. SQL Vezessen fehérlistára megbízható IP-címeket, amelyek csatlakozhatnak az SQL-hez. RDP Állítsa meg a külső RDP-támadásokat az RDP külső kapcsolatokhoz való lezárásával. Használjon kétfaktoros hitelesítéssel ellátott VPN-t a belső hálózathoz való csatlakozáshoz.Automatikus fióklezárás beállítása meghatározott számú sikertelen próbálkozás után, várakozási idővel a feloldás előtt.Erős jelszavak alkalmazása.Tiltja le a nem használt vagy alapértelmezett fiókokat (rendszergazda, admin, root).Bizonyos felhasználók és csoportok fehérlistázása az RDP bejelentkezéshez.Bizonyos IP-címek engedélyezése az RDP-kapcsolat engedélyezéséhez. -
A távoli asztali protokoll legjobb gyakorlatai a támadások ellen
A titkosításon alapuló rosszindulatú programok gyakran a Windowsba épített Remote Desktop Protocol (RDP) protokollon keresztül férnek hozzá a célgépekhez. Az RDP lehetővé teszi mások számára, hogy távolról csatlakozzanak a rendszerhez, így a támadó visszaélhet az RDP-vel a védelem eltávolítására, majd a rosszindulatú szoftverek telepítésére.
Javasoljuk, hogy tiltsa le vagy módosítsa a Távoli asztali protokollt. Ha nincs szüksége az RDP használatára, akkor megváltoztathatja az alapértelmezett portot (3389), vagy letilthatja az RDP-t, hogy megvédje gépét a zsarolóprogramoktól és más RDP-kihasználásoktól. Az RDP letiltására vonatkozó utasításokat az alábbi megfelelő Microsoft Knowledgebase-cikkben talál:
Az RDP-vel kapcsolatos további információkat a WeLiveSecurity alábbi cikkében talál: Az RDP és a távoli hozzáférés biztosítása.
-
Az ESET-alkalmazások beállításainak jelszóval való védelme
Ha Ön üzleti felhasználó, javasoljuk, hogy jelszóval védje az ESET alkalmazást a támadó által történő illetéktelen változtatásoktól. Ez megakadályozza a beállítások jogosulatlan módosítását, a védelem kikapcsolását vagy akár az ESET termék eltávolítását. Ha RDP-t használ, javasoljuk, hogy az RDP bejelentkezési hitelesítő adatokhoz használt jelszótól eltérő jelszót használjon.
További információért lásd: hogyan védje jelszóval az ESET alkalmazást.
Visszaállíthatók a titkosított fájlok?
A modern zsarolóprogramok aszimmetrikus titkosítással és több titkosítási algoritmussal titkosítják az adatokat. Röviden: a fájlokat nyilvános kulccsal titkosítják, és a hozzájuk tartozó privát kulcs nélkül nem lehet visszafejteni őket. A jelenlegi zsarolóprogramok esetében a privát kulcs soha nem található az érintett munkaállomáson vagy környezetben. Ez azt jelenti, hogy az adatokat a fertőzés előtt készített jó biztonsági másolatból kell visszaállítani.
Ha nem állnak rendelkezésre biztonsági másolatok, megkísérelheti a fájlok helyreállítását az árnyékmásolatokból. Shadow Explorer letöltése.
Nem ritka azonban, hogy a zsarolóprogram-fertőzések törlik az árnyékmásolatokat, hogy megakadályozzák a fájlok helyreállítását.
Milyen lépéseket kell tennie, ha zsarolóvírussal fertőzött?
-
Kapcsolja le a számítógépet a hálózatról.
-
Keresse meg a TXT vagy HTML fájlt a fizetési utasításokkal, például a "Hogyan kell visszafejteni" titkosított megosztott mappákat/meghajtókat. a rosszindulatú szoftverek kutatói ezt felhasználhatják további elemzéshez.
-
#@##publication_url id='1232' target='_blank' content='Contact your local ESET partner for support' focus=''#@#.
