Probleem
- U wilt de best practices gebruiken om uw systeem te configureren voor bescherming tegen ransomware-malware
- Algemene ESET anti-ransomware best practices
- Algemene anti-ransomware praktijken
- Versleutelde bestanden herstellen
Details
Klik om uit te breiden
Ransomware is malware die een apparaat kan vergrendelen of de inhoud ervan kan versleutelen om geld af te persen van de eigenaar in ruil voor het herstellen van de toegang tot die bronnen. Dit soort malware kan ook een ingebouwde timer bevatten met een betalingstermijn die moet worden gehaald; anders wordt de prijs voor het ontgrendelen van de gegevens en hardware verhoogd of worden de informatie en het apparaat uiteindelijk permanent ontoegankelijk gemaakt.
Ransomware is een infectie die persoonlijke en gegevensbestanden versleutelt. Gewoonlijk wordt een werkstation geïnfecteerd en vervolgens probeert de ransomware alle gemapte gedeelde stations te versleutelen. Hierdoor kan het lijken alsof deze infectie zich via je netwerk verspreidt, terwijl dat niet zo is.
Hoewel uw bestanden mogelijk zijn versleuteld, is uw systeem mogelijk niet geïnfecteerd. Dit is mogelijk wanneer een gedeelde schijf op een bestandsserver wordt versleuteld, maar de server zelf de malware-infectie niet bevat (tenzij het een Terminal-server is).
Andere voorbeelden van bekende ransomware zijn:
- Win32/Filecoder
- Bestandscoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) of "Win32/Filecoder.Locky.A"-infectie na het openen van een e-mail van een onbekende bron of ZIP-bestanden uit een dergelijke e-mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" en "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Oplossing
De huidige versies van ESET-toepassingen maken gebruik van meerdere lagen van technologieën om computers te beschermen tegen ransomware.
Voorbeelden van deze technologieën zijn Advanced Memory Scanner, ESET LiveGrid® Reputation System en Exploit Blocker.
Daarnaast bieden de nieuwste ESET applicaties een verbeterde Botnet Protection module die de communicatie tussen ransomware en Command and Control (C&C) servers blokkeert.
Algemene ESET anti-ransomware best practices
- Schakel de detectie van PUA (Potentieel Ongewenste Toepassingen) in
Volg de instructies in het gekoppelde artikel om ongewenste, onveilige en verdachte toepassingen te detecteren, zoals RMM-tools (Remote Monitoring and Management), kwetsbare stuurprogramma's, netwerkscanners en andere software die een beveiligingsrisico voor uw systeem kunnen vormen. Hoewel deze tools vertrouwd, ondertekend en legitiem kunnen zijn, zelfs ingebouwde systeemhulpprogramma's, worden ze op grote schaal misbruikt door aanvallers tijdens ransomware-inbraken. Meer informatie over mogelijk ongewenste toepassingen en mogelijk ongewenste inhoud.
-
Houd Advanced Memory Scanner en Exploit Blocker ingeschakeld
Deze nieuw ontworpen ESET-algoritmen versterken de bescherming tegen malware die is ontworpen om detectie door antimalwareproducten te omzeilen door het gebruik van verduistering en/of versleuteling.
Advanced Memory Scanner zoekt naar verdacht gedrag nadat malware in het geheugen is gedeblokkeerd en Exploit Blocker versterkt de bescherming tegen gerichte aanvallen en voorheen ongeziene kwetsbaarheden, ook bekend als zero-day kwetsbaarheden.
Voor maximale bescherming raden wij u aan om uw ESET-toepassingen te upgraden naar de nieuwste versie:
- Thuisgebruikers: Controleer voor de nieuwste versie van uw ESET thuis of klein kantoor product (Windows)
- Zakelijke gebruikers: Controleer de laatste versie van uw ESET zakelijke producten (Windows)
-
Houd ESET LiveGrid® ingeschakeld
Het ESET Cloud Malware Protection System is gebaseerd op ESET LiveGrid®. Het controleert op onbekende en potentieel schadelijke toepassingen en onderwerpt monsters aan automatische sandboxing en gedragsanalyse.
Zorg ervoor dat ESET LiveGrid® reputatie en ESET LiveGrid® feedbacksysteem is ingeschakeld en werkt in uw ESET product.
-
Houd ESET bijgewerkt
Nieuwe varianten van bestaande ransomware worden regelmatig uitgebracht, dus het is belangrijk dat je regelmatig virusdatabase-updates ontvangt (je ESET-toepassing controleert elk uur op updates, op voorwaarde dat je een geldig abonnement en een werkende internetverbinding hebt).
-
Gebruikers van virtuele machines
Voor de beste bescherming tegen ransomware-malware raden we het gebruik van ESET Endpoint Security voor Windows in virtuele omgevingen aan.
-
Zorg ervoor dat Ransomware Shield is ingeschakeld
Ransomware Shield, als onderdeel van een Self-Defense technologie, is een andere beschermingslaag die werkt als onderdeel van de HIPS functie. Voor meer informatie, zie Ransomware Shield in de ESET Glossary en hoe het te configureren in ESET toepassingen.
-
Configureer aanvullende instellingen om te beschermen tegen ransomware in ESET zakelijke producten handmatig of met behulp van ESET PROTECT On-Prem/ESET PROTECT Policy
-
Meldingen
Minimaliseer uw risico van op encryptie gebaseerde malware (ransomware)
-
Plan regelmatig back-ups van je systeem en bewaar minstens één back-up in offline opslag om je meest recente werk te beschermen tegen een aanval.
-
Gebruikersrechten en beperking van rechten
Er zijn vele soorten beperkingen, zoals de beperking van de toegang tot applicatiegegevens en zelfs enkele die vooraf zijn ingesteld als een Group Policy Object (GPO).
- Schakel bestanden uit die worden uitgevoerd vanuit de mappen AppData en LocalAppData.
- Blokkeer uitvoering vanuit de submap Temp (standaard onderdeel van de AppData-structuur).
- Blokkeer uitvoerbare bestanden die worden uitgevoerd vanuit de werkmappen van verschillende decompressieprogramma's (bijvoorbeeld WinZip of 7-Zip).
- Bovendien kunt u in ESET Endpoint Security for Windows, ESET Mail Security for Microsoft Exchange Server en ESET Server Security for Microsoft Windows Server HIPS-regels maken om alleen bepaalde toepassingen toe te staan op de computer en alle andere standaard te blokkeren: Maak een HIPS-regel en dwing deze af op een client-werkstation met ESET PROTECT On-Prem.
-
Schakel User Account Control (UAC) niet uit
Open geen bijlagen die beweren een fax, factuur of ontvangstbewijs te zijn als ze een verdachte naam hebben of als u niet verwacht ze te ontvangen.
-
Gebruik Authenticatie met Twee Factoren (2FA)
Wij raden ESET Secure Authentication aan, dat zowel in de cloud als op locatie kan worden gebruikt. Ga voor meer informatie naar ESET Online Help.
-
Verdediging tegen bedreigingen
Wij raden ESET LiveGuard Advanced aan.
-
Macro's (VBA) in Microsoft Office uitschakelen via Groepsbeleid
Microsoft Office 2019 en eerdere versies: Beveiligingsinstellingen plannen voor VBA-macro's voor Office
Microsoft Office 365 gebruikt de Office Cloud Policy Service (OCPS) om beleidsregels af te dwingen die de uitvoering van macro's in Office-bestanden vanaf het internet blokkeren.
-
Houd uw systeem up-to-date
Houd uw besturingssysteem en toepassingen up-to-date om te zorgen dat u over de beste bescherming beschikt. Installeer de nieuwste updates met hoge prioriteit die worden aangeboden in het hulpprogramma Windows Update en controleer regelmatig of schakel de functie Automatische updates in. Nieuwe beveiligingsupdates patchen de zwakke plekken in het systeem en verminderen het risico op malware-aanvallen.
-
Potentiële poorten/services die kunnen worden misbruikt als ze open blijven staan
Om te voorkomen dat onbekende IP-adressen succesvolle Brute-Force aanvallen uitvoeren, raden we sterk aan om SMB, SQL en RDP te vergrendelen.
Service Aanbevelingen SMB Sluit de poorten 135-139 en 445 voor het delen van bestanden. SMB-poorten mogen niet worden blootgesteld aan het internet. SQL Maak een witte lijst van vertrouwde IP-adressen die verbinding mogen maken met SQL. RDP Stop externe RDP brute-force aanvallen door RDP af te sluiten voor externe verbindingen. Gebruik een VPN met twee-factor authenticatie om verbinding te maken met het interne netwerk.Stel automatische accountvergrendeling in na een opgegeven aantal mislukte pogingen, met een wachttijd voordat de vergrendeling wordt opgeheven.Dwing sterke wachtwoorden af.Schakel ongebruikte of standaard accounts uit (administrator, admin, root).Whitelist specifieke gebruikers en groepen voor RDP login.Whitelist specifieke IP-adressen om RDP-verbinding mogelijk te maken. -
Best practices voor het Remote Desktop Protocol tegen aanvallen
Op versleuteling gebaseerde malware krijgt vaak toegang tot doelmachines via het Remote Desktop Protocol (RDP) dat is ingebouwd in Windows. Met RDP kunnen anderen op afstand verbinding maken met je systeem, dus de aanvaller kan RDP misbruiken om de beveiliging te verwijderen en vervolgens de malware te implementeren.
We raden je aan om het Remote Desktop Protocol uit te schakelen of te wijzigen. Als je het gebruik van RDP niet nodig hebt, kun je de standaardpoort (3389) wijzigen of RDP uitschakelen om je machine te beschermen tegen ransomware en andere RDP-exploits. Ga voor instructies over het uitschakelen van RDP naar het betreffende Microsoft Knowledgebase-artikel hieronder:
Voor meer informatie over RDP, zie het volgende WeLiveSecurity-artikel: RDP en externe toegang beveiligen.
-
Bescherm uw ESET applicatie-instellingen met een wachtwoord
Als je een zakelijke gebruiker bent, raden we je aan een wachtwoord te gebruiken om de ESET applicatie te beschermen tegen ongeautoriseerde wijzigingen door een aanvaller. Dit voorkomt het wijzigen van instellingen door onbevoegden, het uitschakelen van de beveiliging of zelfs het verwijderen van het ESET product. Als je RDP gebruikt, raden we je aan een ander wachtwoord te gebruiken dan het wachtwoord dat wordt gebruikt voor de RDP aanmeldingsgegevens.
Zie voor meer informatie hoe uw ESET-toepassing te beveiligen met een wachtwoord.
Kunnen versleutelde bestanden worden hersteld?
Moderne ransomware versleutelt gegevens met behulp van asymmetrische versleuteling en meerdere versleutelingsalgoritmen. Kortom, bestanden worden versleuteld met een openbare sleutel en kunnen niet worden ontsleuteld zonder de bijbehorende privésleutel. Bij de huidige ransomware bevindt de privésleutel zich nooit op het getroffen werkstation of de getroffen omgeving. Dit betekent dat gegevens moeten worden hersteld vanaf een goede back-up die vóór de infectie is gemaakt.
Als er geen back-ups beschikbaar zijn, kun je proberen bestanden te herstellen van schaduwkopieën. Download Schaduwverkenner.
Het is echter niet ongebruikelijk dat ransomware-infecties Schaduwkopieën verwijderen om herstel van bestanden te voorkomen.
Welke stappen moet je nemen als je geïnfecteerd bent met ransomware?
-
Koppel de computer los van het netwerk.
-
Zoek het TXT- of HTML-bestand met de betalingsinstructies, bijvoorbeeld "Hoe decoderen" gedeelde mappen/drives die zijn versleuteld. de malwareonderzoekers kunnen dit gebruiken voor verdere analyse.
-
Neem contact op met uw lokale ESET-partner voor ondersteuning.
