[KB3433] Procedure consigliate per la protezione da attacchi malware Filecoder (ransomware)

Problema

  • L’utente desidera utilizzare le procedure consigliate per configurare il sistema in modo da garantire protezione da attacchi malware ransomware

Dettagli

Il ransomware è un malware in grado di bloccare un dispositivo o crittografarne il contenuto per estorcere denaro al proprietario allo scopo di ripristinare l’accesso a queste risorse. Questo tipo di malware può anche avere un timer integrato con un termine di pagamento che deve essere rispettato; in caso contrario, il prezzo per lo sblocco dei dati e dell’hardware aumenta – o le informazioni e il dispositivo saranno resi inaccessibili in modo permanente.

I filecoder/ransomware sono infezioni che eseguono la crittografia di file e dati personali. In genere, se una workstation è infetta, il filecoder/ransomware tenterà di crittografare le unità condivise mappate. Tale condizione potrebbe far pensare a una diffusione dell’infezione nella rete, ma non è così.

Mentre i file potrebbero essere crittografati, il sistema potrebbe non essere infetto. Ciò è possibile nel caso in cui venga eseguita la crittografia di un’unità condivisa su un file server, ma il server stesso non contiene l’infezione malware (a meno che non si tratti di un server Terminal).

Altri esempi di filecoder/ransomware noti sono:

 

Soluzione

Procedure consigliate generali sulla protezione anti-ransomware dei prodotti ESET | Procedure generali anti-ransomwareRecupero di file crittografati

Le versioni correnti dei prodotti ESET utilizzano più livelli di tecnologie per proteggere i computer da attacchi ransomware.

Esempi di queste tecnologie includono Scanner memoria avanzatoSistema di reputazione® ESET LiveGrid ed Exploit Blocker.

Inoltre, i prodotti ESET più recenti offrono un modulo potenziato di Protezione Botnet che blocca le comunicazioni tra i server ransomware e i server Command and Control (C&C). 

Figura 1-1

Procedure consigliate generali sulla protezione anti-ransomware dei prodotti ESET

  • Mantenere lo Scanner memoria avanzato e l’Exploit Blocker abilitati

Queste due funzioni sono abilitate per impostazione predefinita nei prodotti ESET versione 5 e successive. I nuovi algoritmi ESET potenziano la protezione contro malware che è stata concepita per eludere il rilevamento dei prodotti anti-malware attraverso l’utilizzo di tecniche di offuscamento e/o crittografia.

Lo Scanner memoria avanzato ricerca comportamenti sospetti dopo che i malware hanno annullato il mascheramento nella memoria e l’Exploit Blocker potenzia la protezione contro attacchi mirati e vulnerabilità finora non rilevate, note anche con il nome di “vulnerabilità zero-day”.

Per una protezione ottimale, si consiglia di eseguire l’aggiornamento dei prodotti ESET alla versione più recente:

 Utenti privati: quale prodotto ESET possiedo? Si tratta della versione più recente? (Utenti privati)

 Utenti Business: possiedo la versione più recente dei prodotti ESET Business?

  • Mantenere ESET LiveGrid abilitato

ESET Cloud Malware Protection System si basa su ESET LiveGrid. Monitora le applicazioni sconosciute e potenzialmente dannose e invia i campioni ai sistemi di sandboxing automatica e di analisi comportamentale.

Assicurarsi che il sistema di reputazione ESET LiveGrid® e il sistema di feedback ESET LiveGrid® siano abilitati e funzionanti nel prodotto ESET.

La Protezione ransomware nell’ambito di una tecnologia di autoprotezione rappresenta un ulteriore livello di protezione che opera all’interno della funzione HIPS. Per ulteriori informazioni, consultare Protezione ransomware nel glossario ESET e Modalità di configurazione nei prodotti ESET.

 


Procedure consigliate generali anti-ransomware—Consente di ridurre al minimo il rischio di attacchi malware basati sulla crittografia (ransomware)

  • Conservare i backup del sistema

    Pianificare backup periodici del sistema e conservarne almeno uno nell’archiviazione offline per proteggere i lavori più recenti da eventuali attacchi.
  • Autorizzazioni utente e restrizione dei diritti

    Esistono molti tipi di restrizioni, tra cui quella che non consente l’accesso ai dati dell’applicazione. Alcune di queste sono persino predefinite come Oggetto criteri di gruppo (Group Policy Object, GPO).
    • Disabilitare i file in esecuzione dalle cartelle AppData e LocalAppData.
       
    • Bloccare l’esecuzione dalla sottodirectory Temp (parte della struttura AppData per impostazione predefinita). 
       
    • Bloccare i file eseguibili in esecuzione dalle directory di lavoro di varie utilità di decompressione (p. es., WinZip o 7-Zip).

      Inoltre, in ESET Endpoint Security/Antivirus, ESET Mail Security ed ESET File Security, è possibile creare regole HIPS per consentire solo ad alcune applicazioni di essere eseguite sul computer e bloccare tutte le altre per impostazione predefinita: [KB7257] Creare una regola HIPS e applicarla su una workstation client utilizzando ESET Security Management Center (7.x)
       
  • Non disabilitare il Controllo account utente (User Account Control, UAC)

Non aprire gli allegati che dichiarano di essere un fax, una fattura o una ricevuta se hanno un nome sospetto o non si prevedeva di riceverli.

Cosa posso fare per ridurre al minimo il rischio di attacchi malware?

  • Utilizzare l’autenticazione a due fattori (2FA)

    Si consiglia di utilizzare ESET Secure Authentication.

  • Protezione dalle minacce

Si consiglia di utilizzare ESET Dynamic Threat Defense

  • Tenere aggiornato il sistema

Per garantire la migliore protezione disponibile, è necessario mantenere aggiornati il sistema operativo e le applicazioni. Installare gli aggiornamenti più recenti con priorità elevata offerti nello strumento Windows Update e controllare periodicamente o abilitare la funzione Aggiornamenti automatici. I nuovi aggiornamenti della protezione correggono le vulnerabilità del sistema e riducono il rischio di attacchi malware.

Microsoft ha rilasciato patch per i sistemi operativi Windows correnti e Windows XP allo scopo di ridurre una vulnerabilità critica. Consultare il Microsoft Security Bulletin MS17-010: livello critico per le istruzioni relative all’applicazione di questi aggiornamenti.

  • In caso di utilizzo di Windows XP, disabilitare SMBv1.
     
  • Porte/servizi potenziali che potrebbero essere sfruttati se lasciati aperti

Per impedire a un indirizzo IP sconosciuto di eseguire correttamente gli attacchi di forza bruta, si consiglia vivamente di bloccare SMB, SQL e RDP.  

    1. SMB
      •  Chiudere le porte di condivisione dei file 135-139 e 445. Le porte SMB non devono essere esposte a Internet.
  •  
    1. SQL
      •  Indirizzi IP attendibili della whitelist a cui è consentito connettersi SQL
    1. RDP
      • Interrompere gli attacchi di forza bruta RDP esterni chiudendo RDP su connessioni esterne. Utilizzare una VPN con l’autenticazione a due fattori per effettuare la connessione alla rete interna.
      • Impostare i blocchi automatici dell’account dopo un determinato numero di tentativi non riusciti. Includere un periodo di attesa per lo sblocco automatico in seguito al blocco di un account.
      • Applicare password complesse
      • Disabilitare gli account comuni inutilizzati e predefiniti, p. es., amministratore, admin o radice
      • Inserire nella whitelist utenti e gruppi specifici per consentire l’autenticazione tramite RDP
      • Inserire nella Whitelist indirizzi IP specifici per consentire una connessione RDP
  • Procedure consigliate di Remote Desktop Protocol contro gli attacchi

I malware basati sulla crittografia accedono spesso alle macchine di destinazione utilizzando lo strumento Remote Desktop Protocol (RDP) integrato in Windows. RDP consente ad altri di effettuare la connessione al sistema da remoto, in modo che l’autore di un attacco possa utilizzare in modo illecito RDP per rimuovere la protezione ed eseguire successivamente la distribuzione del malware.

a)   Disabilitare o modificare Remote Desktop Protocol

Se non è richiesto l’utilizzo di RDP, è possibile modificare la porta predefinita (3389) o disabilitare RDP per proteggere la macchina da Filecoder e altri exploit RDP. Per consultare le istruzioni sulla disabilitazione di RDP, consultare l’articolo appropriato della Knowledge Base di Microsoft riportato di seguito:

o    Windows 7

o    Windows 8

o    Windows 10

Per ulteriori informazioni su RDP, consultare il seguente articolo WeLiveSecurity: Accesso non autorizzato a Remote Desktop (RDP) 101: Riesco a visualizzare il desktop da qui.

b)   Proteggere con password le impostazioni del prodotto ESET

Se è necessario mantenere RDP in esecuzione e non è possibile disabilitare o modificare le impostazioni di RDP, è possibile utilizzare una password per proteggere il prodotto ESET da modifiche da parte dell’autore di un attacco. Ciò impedisce la modifica delle impostazioni non autenticate, la disabilitazione della protezione o addirittura la disinstallazione del prodotto ESET. Si consiglia di utilizzare una password diversa da quella utilizzata per le credenziali di autenticazione RDP.

 


È possibile recuperare i file crittografati?

I moderni ransomware (filecoder) eseguono la crittografia dei dati utilizzando metodi asimmetrici e vari tipi di crittografia. In breve, i file sono crittografati con una chiave pubblica e non possono essere decrittografati senza la chiave privata associata. Con il ransomware corrente, la chiave privata non è mai posizionata sulla workstation o nell’ambiente interessati. Ciò significa che sarà necessario ripristinare i dati da un backup eseguito correttamente prima dell’infezione.

Se non sono disponibili backup, è possibile tentare di recuperare i file dalle copie Shadow. È possibile utilizzare Shadow Explorer, disponibile nella seguente pagina web: http://www.shadowexplorer.com/downloads.html

Tuttavia, non è insolito che le infezioni ransomware rimuovino le copie Shadow per impedire il recupero dei file.

Quali misure è necessario adottare in caso di infezione da ransomware?

  1. Scollegare il computer dalla rete.
     
  2. Individuare il file TXT o HTML contenente le istruzioni di pagamento, p. es., “Come eseguire la decrittografia” delle cartelle/unità condivise crittografate. Questo strumento potrebbe essere utilizzato dai ricercatori di malware per ulteriori analisi.
     
  3. Eseguire ESET SysRescue sul computer infetto. Eseguire il ripristino solo da un backup dopo che la minaccia è stata identificata e rimossa (vedere la sezione precedente Mantieni backup del sistema).
     
  4. Contattare il partner ESET locale per assistenza

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.