Problema
- Si desidera utilizzare le migliori pratiche per configurare il sistema per la protezione contro il malware ransomware
- Pratiche generali anti-ransomware per le applicazioni ESET
- Pratiche generali anti-ransomware
- Recupero dei file crittografati
Dettagli
Fare clic per espandere
Il ransomware è un malware che può bloccare un dispositivo o crittografarne il contenuto per estorcere denaro al proprietario in cambio del ripristino dell'accesso a tali risorse. Questo tipo di malware può anche includere un timer incorporato con una scadenza di pagamento che deve essere rispettata; in caso contrario, il prezzo per sbloccare i dati e l'hardware aumenterà, oppure le informazioni e il dispositivo saranno resi definitivamente inaccessibili.
Il ransomware è un'infezione che cripta i file personali e di dati. In genere, viene infettata una stazione di lavoro e il ransomware tenta di crittografare le unità condivise mappate. Questo può far sembrare che l'infezione si stia diffondendo attraverso la rete, mentre non è così.
Sebbene i file siano crittografati, il sistema potrebbe non essere infetto. Ciò è possibile quando un'unità condivisa su un file server viene crittografata, ma il server stesso non contiene l'infezione da malware (a meno che non si tratti di un Terminal server).
Altri esempi di ransomware noti sono:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) o infezione "Win32/Filecoder.Locky.A" dopo l'apertura di un'email da una fonte sconosciuta o di file ZIP da tale email
- "CryptoLocker", "Cryptowall", "Dirty decrypt" e "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Soluzione
Le versioni attuali delle applicazioni ESET utilizzano diversi livelli di tecnologie per proteggere i computer dal ransomware.
Esempi di queste tecnologie sono Advanced Memory Scanner, ESET LiveGrid® Reputation System ed Exploit Blocker.
Inoltre, le applicazioni ESET più recenti offrono un modulo di protezione botnet potenziato che blocca la comunicazione tra il ransomware e i server di comando e controllo (C&C).
Migliori pratiche generali anti-ransomware delle applicazioni ESET
- Abilitare il rilevamento di PUA (Applicazioni potenzialmente indesiderate)
Seguire le istruzioni contenute nell'articolo collegato per rilevare applicazioni indesiderate, non sicure e sospette, come strumenti RMM (monitoraggio e gestione remoti), driver vulnerabili, scanner di rete e altri software che possono rappresentare un rischio per la sicurezza del sistema. Sebbene questi strumenti possano essere affidabili, firmati e legittimi, persino utility di sistema integrate, sono ampiamente abusati dagli aggressori durante le intrusioni ransomware. Ulteriori informazioni sulle applicazioni potenzialmente indesiderate e sui contenuti potenzialmente indesiderati.
-
Mantenere abilitati Advanced Memory Scanner e Exploit Blocker
Questi algoritmi ESET di nuova concezione rafforzano la protezione contro il malware progettato per eludere il rilevamento da parte dei prodotti antimalware attraverso l'uso di offuscamento e/o crittografia.
Advanced Memory Scanner cerca comportamenti sospetti dopo che il malware viene decloccato nella memoria, mentre Exploit Blocker rafforza la protezione contro gli attacchi mirati e le vulnerabilità inedite, note anche come vulnerabilità zero-day.
Per ottenere la massima protezione, si consiglia di aggiornare le applicazioni ESET alla versione più recente:
- Utenti privati: Controlla lultima
- Utenti aziendali: Verifica lultima
-
Mantenete attivo ESET LiveGrid
Il sistema ESET Cloud Malware Protection si basa su ESET LiveGrid®. Monitora le applicazioni sconosciute e potenzialmente dannose e sottopone i campioni a sandboxing automatico e analisi comportamentale.
Assicuratevi che La reputazione di ESET LiveGrid® e il sistema di feedback di ESET LiveGrid® siano abilitati e funzionanti nel vostro prodotto ESET.
-
Mantenere ESET aggiornato
Nuove varianti di ransomware esistenti vengono rilasciate frequentemente, pertanto è importante ricevere regolarmente gli aggiornamenti del database dei virus (l'applicazione ESET controllerà la presenza di aggiornamenti ogni ora, a condizione che si disponga di un abbonamento valido e di una connessione Internet funzionante).
-
Utenti di macchine virtuali
Per una protezione ottimale contro il malware ransomware, si consiglia di utilizzare ESET Endpoint Security for Windows negli ambienti virtuali.
-
Assicurarsi di aver attivato Ransomware Shield
Ransomware Shield, come parte di una tecnologia di autodifesa, è un altro livello di protezione che funziona come parte della funzione HIPS. Per ulteriori informazioni, vedere Ransomware Shield nel Glossario ESET e come configurarlo nelle applicazioni ESET.
-
Configurare impostazioni aggiuntive per la protezione contro il ransomware nei prodotti aziendali ESET manualmente o utilizzando ESET PROTECT On-Prem/ESET PROTECT Policy
-
Notifiche
Ridurre al minimo il rischio di malware basato sulla crittografia (ransomware)
-
Mantenere i backup del sistema
Pianificate il backup del sistema regolarmente e conservate almeno un backup nell'archiviazione offline per proteggere il vostro lavoro più recente da un attacco.
-
Autorizzazioni per gli utenti e restrizione dei diritti
Esistono molti tipi di restrizioni, come la limitazione dell'accesso ai dati delle applicazioni e persino alcune precostituite come Oggetto Criteri di Gruppo (GPO).
- Disabilitare i file in esecuzione dalle cartelle AppData e LocalAppData.
- Bloccare l'esecuzione dalla sottodirectory Temp (parte della struttura AppData per impostazione predefinita).
- Bloccare i file eseguibili dalle directory di lavoro di varie utility di decompressione (ad esempio, WinZip o 7-Zip).
- Inoltre, in ESET Endpoint Security per Windows, ESET Mail Security per Microsoft Exchange Server e ESET Server Security per Microsoft Windows Server, è possibile creare regole HIPS per consentire l'esecuzione solo di determinate applicazioni sul computer e bloccare tutte le altre per impostazione predefinita: Creare una regola HIPS e applicarla su una workstation client utilizzando ESET PROTECT On-Prem.
-
Non disabilitare il controllo dell'account utente (UAC)
Non aprite gli allegati che si spacciano per fax, fatture o ricevute se hanno un nome sospetto o se non vi aspettavate di riceverli.
-
Utilizzare l'autenticazione a due fattori (2FA)
Si consiglia ESET Secure Authentication, che può essere utilizzato come componente cloud o on-premise. Per ulteriori informazioni, visitate la Guida online di ESET .
-
Difesa dalle minacce
Si consiglia ESET LiveGuard Advanced.
-
Disattivare le macro (VBA) in Microsoft Office tramite Criteri di gruppo
Microsoft Office 2019 e versioni precedenti: Pianificare le impostazioni di sicurezza per le macro VBA in Office
Microsoft Office 365 utilizza Office Cloud Policy Service (OCPS) per applicare i criteri che bloccano l'esecuzione di macro nei file di Office provenienti da Internet.
-
Mantenere il sistema aggiornato
Per assicurarvi la migliore protezione disponibile, mantenete aggiornati il sistema operativo e le applicazioni. Installate gli ultimi aggiornamenti ad alta priorità offerti dallo strumento Windows Update e controllate regolarmente o attivate la funzione Aggiornamenti automatici. I nuovi aggiornamenti di sicurezza eliminano le vulnerabilità del sistema e riducono il rischio di attacchi malware.
-
Porte/servizi potenziali che potrebbero essere sfruttati se lasciati aperti
Per evitare che indirizzi IP sconosciuti eseguano con successo attacchi Brute-Force, si consiglia vivamente di bloccare SMB, SQL e RDP.
Servizio Raccomandazioni SMB Chiudere le porte di condivisione file 135-139 e 445. Le porte SMB non devono essere esposte a Internet. SQL Inserite nella whitelist gli indirizzi IP affidabili che possono connettersi a SQL. RDP Bloccate gli attacchi brute-force RDP esterni chiudendo RDP alle connessioni esterne. Utilizzare una VPN con autenticazione a due fattori per connettersi alla rete interna.Impostare il blocco automatico dell'account dopo un determinato numero di tentativi falliti, con un periodo di attesa prima dello sblocco.Imporre password forti.Disattivare gli account inutilizzati o predefiniti (amministratore, admin, root).Inserire in una lista bianca utenti e gruppi specifici per il login RDP.Inserite nella whitelist indirizzi IP specifici per abilitare la connessione RDP. -
Migliori pratiche per il protocollo Remote Desktop contro gli attacchi
Le minacce informatiche basate sulla crittografia accedono spesso ai computer di destinazione tramite il protocollo RDP (Remote Desktop Protocol) integrato in Windows. RDP consente ad altri di connettersi al sistema in remoto, quindi l'aggressore può usare RDP in modo improprio per rimuovere la protezione e quindi distribuire il malware.
Si consiglia di disabilitare o modificare il Protocollo Desktop Remoto. Se non si richiede l'uso di RDP, è possibile modificare la porta predefinita (3389) o disabilitare RDP per proteggere il computer da ransomware e altri exploit RDP. Per istruzioni su come disabilitare RDP, visitate l'articolo della Microsoft Knowledgebase appropriato:
Per ulteriori informazioni su RDP, consultare il seguente articolo di WeLiveSecurity: Protezione di RDP e dell'accesso remoto.
-
Proteggere con password le impostazioni dell'applicazione ESET
Se si è utenti aziendali, si consiglia di utilizzare una password per proteggere l'applicazione ESET da modifiche non autorizzate da parte di un malintenzionato. In questo modo si evita la modifica non autenticata delle impostazioni, la disattivazione della protezione o addirittura la disinstallazione del prodotto ESET. Se si utilizza RDP, si consiglia di utilizzare una password diversa da quella utilizzata per le credenziali di accesso RDP.
Per ulteriori informazioni, consultare come proteggere lapplicazione.
È possibile recuperare i file crittografati?
I moderni ransomware criptano i dati utilizzando una crittografia asimmetrica e algoritmi di crittografia multipli. In breve, i file vengono crittografati con una chiave pubblica e non possono essere decifrati senza la chiave privata associata. Con il ransomware attuale, la chiave privata non si trova mai sulla workstation o sull'ambiente colpito. Ciò significa che i dati devono essere ripristinati da un buon backup effettuato prima dell'infezione.
Se non sono disponibili backup, è possibile tentare di recuperare i file dalle copie shadow. Scaricare Shadow Explorer.
Tuttavia, non è raro che le infezioni da ransomware eliminino le copie shadow per impedire il recupero dei file.
Quali sono le misure da adottare in caso di infezione da ransomware?
-
Scollegare il computer dalla rete.
-
Individuare il file TXT o HTML con le istruzioni di pagamento, ad esempio "Come decriptare" le cartelle condivise/le unità crittografate. i ricercatori del malware possono utilizzarlo per ulteriori analisi.
-
Contatta il tuo partner ESET locale per ricevere assistenza.
