Probleem
- U wilt de best practices gebruiken om uw systeem te configureren voor bescherming tegen ransomware-malware
- Algemene ESET-product anti-ransomware best practices
- Algemene anti-ransomware praktijken
- Versleutelde bestanden herstellen
Details
Klik om uit te breiden
Ransomware is malware die een apparaat kan vergrendelen of de inhoud ervan kan versleutelen om geld af te persen van de eigenaar in ruil voor het herstellen van de toegang tot die bronnen. Dit soort malware kan ook een ingebouwde timer hebben met een betalingstermijn die moet worden gehaald; anders loopt de prijs voor het ontgrendelen van de gegevens en hardware op - of worden de informatie en het apparaat uiteindelijk permanent ontoegankelijk gemaakt.
Ransomware zijn infecties die persoonlijke en gegevensbestanden versleutelen. Gewoonlijk wordt een werkstation geïnfecteerd en vervolgens probeert de ransomware alle gemapte gedeelde stations te versleutelen. Hierdoor kan het lijken alsof deze infectie zich via je netwerk verspreidt, terwijl dat niet zo is.
Hoewel uw bestanden mogelijk zijn versleuteld, is uw systeem mogelijk niet geïnfecteerd. Dit is mogelijk wanneer een gedeelde schijf op een bestandsserver wordt versleuteld, maar de server zelf de malware-infectie niet bevat (tenzij het een Terminal-server is).
Andere voorbeelden van bekende ransomware zijn:
- Win32/Filecoder
- Bestandscoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) of Win32/Filecoder.Locky.A infectie na het openen van een e-mail van een onbekende bron of ZIP-bestanden uit zo'n e-mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" en "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Oplossing
De huidige versies van ESET producten gebruiken meerdere lagen van technologieën om computers te beschermen tegen ransomware.
Voorbeelden van deze technologieën zijn Advanced Memory Scanner, ESET LiveGrid® Reputation System en Exploit Blocker.
Daarnaast bieden de nieuwste ESET producten een verbeterde Botnet Protection module die de communicatie tussen ransomware en Command and Control (C&C) servers blokkeert.
Algemene ESET product anti-ransomware best practices
-
Houd Advanced Memory Scanner en Exploit Blocker ingeschakeld
Deze twee functies zijn standaard ingeschakeld in ESET producten versie 5 en later. Deze nieuw ontworpen ESET algoritmes versterken de bescherming tegen malware die ontworpen is om detectie door anti-malware producten te ontwijken door het gebruik van verduistering en/of encryptie.
Advanced Memory Scanner zoekt naar verdacht gedrag nadat malware in het geheugen is gedeblokkeerd en Exploit Blocker versterkt de bescherming tegen gerichte aanvallen en voorheen ongeziene kwetsbaarheden, ook bekend als zero-day kwetsbaarheden.
Voor maximale bescherming raden wij u aan uw ESET-producten te upgraden naar de nieuwste versie:
-
thuisgebruikers: Welk ESET-product heb ik en is het de nieuwste versie? (Thuisgebruikers) -
zakelijke gebruikers: Heb ik de laatste versie van ESET zakelijke producten?
-
-
Houd ESET LiveGrid ingeschakeld
Het ESET Cloud Malware Protection System is gebaseerd op ESET LiveGrid. Het controleert op onbekende en potentieel schadelijke toepassingen en onderwerpt monsters aan automatische sandboxing en gedragsanalyse.
Zorg ervoor dat ESET LiveGrid® reputatie en ESET LiveGrid® feedbacksysteem is ingeschakeld en werkt in uw ESET product.
-
Houd ESET bijgewerkt
Nieuwe varianten van bestaande ransomware worden regelmatig uitgebracht, dus het is belangrijk dat je regelmatig virusdatabase-updates ontvangt (je ESET-product controleert elk uur op updates, op voorwaarde dat je een geldige licentie en een werkende internetverbinding hebt).
-
thuisgebruikers : Update ESET Products-check voor nieuwste productmodules
-
zakelijke gebruikers: Update ESET endpoint products on individual client workstations-check for latest product modules
-
-
Gebruikers van virtuele machines
Voor de beste bescherming tegen ransomware malware, raden wij het gebruik van ESET Endpoint Security in virtuele omgevingen aan.
-
Zorg ervoor dat Ransomware Shield is ingeschakeld
Ransomware Shield als onderdeel van een Self-Defense technologie is een andere beschermingslaag die werkt als onderdeel van de HIPS functie. Voor meer informatie, zie Ransomware Shield in ESET Glossary en hoe het te configureren in ESET producten.
-
Configureer aanvullende instellingen om te beschermen tegen ransomware in ESET zakelijke producten handmatig of met behulp van ESET PROTECT On-Prem/ESET PROTECT Policy
-
Meldingen
Algemene anti-ransomware best practices - Minimaliseer uw risico op malware gebaseerd op encryptie (ransomware)
-
Maak regelmatig back-ups van je systeem en bewaar ten minste één zo'n back-up in offline opslag om je meest recente werk te beschermen tegen een aanval.
-
Gebruikersrechten en beperking van rechten
Er zijn vele soorten beperkingen, zoals de beperking van de toegang tot applicatiegegevens en zelfs enkele die vooraf zijn ingesteld als een Group Policy Object (GPO).
-
Schakel bestanden uit die worden uitgevoerd vanuit de mappen AppData en LocalAppData.
-
Blokkeer uitvoering vanuit de submap Temp (standaard onderdeel van de AppData-structuur).
-
Blokkeer uitvoerbare bestanden die worden uitgevoerd vanuit de werkmappen van verschillende decompressieprogramma's (bijvoorbeeld WinZip of 7-Zip).
Bovendien kunt u in ESET Endpoint Security/Antivirus, ESET Mail Security en ESET File Security HIPS-regels aanmaken om alleen bepaalde toepassingen toe te staan op de computer en alle andere standaard te blokkeren: Maak een HIPS regel en dwing deze af op een client werkstation met ESET PROTECT On-Prem.
-
-
Schakel User Account Control (UAC) niet uit
Open geen bijlagen die beweren een fax, factuur of ontvangstbewijs te zijn als ze een verdachte naam hebben of als u niet verwacht ze te ontvangen.
Wat kan ik doen om het risico op een malware-aanval te minimaliseren?
-
Gebruik twee-factor authenticatie (2FA)
Wij raden ESET Secure Authentication aan.
-
Verdediging tegen bedreigingen
Wij raden ESET LiveGuard Advanced aan.
-
Macro's uitschakelen in Microsoft Office via Groepsbeleid
Office 2013/2016 (de volgende link is voor 2013 maar zijn dezelfde instellingen voor 2016): Beveiligingsinstellingen plannen voor VBA-macro's voor Office
-
Houd uw systeem up-to-date
Houd je besturingssysteem en applicaties up-to-date om ervoor te zorgen dat je over de beste bescherming beschikt. Installeer de nieuwste updates met hoge prioriteit die worden aangeboden in het hulpprogramma Windows Update en controleer regelmatig of schakel de functie Automatische updates in. Nieuwe beveiligingsupdates patchen de zwakke plekken in het systeem en verminderen het risico op malware-aanvallen.
-
Potentiële poorten/services die kunnen worden misbruikt als ze open blijven staan
Om te voorkomen dat een onbekend IP-adres succesvolle Brute Force-aanvallen uitvoert, raden we sterk aan om SMB, SQL en RDP te vergrendelen.
-
SMB
Sluit de poorten 135-139 en 445 voor het delen van bestanden. SMB-poorten mogen niet worden blootgesteld aan het internet.
-
SQL
Maak een witte lijst van vertrouwde IP-adressen die verbinding mogen maken met SQL
-
RDP
-
Stop Brute Force aanvallen met RDP van buitenaf door RDP af te sluiten voor externe verbindingen. Gebruik een VPN met Two Factor Authentication om verbinding te maken met het interne netwerk.
-
Stel automatische accountvergrendeling in na een bepaald aantal mislukte pogingen. Neem een wachtperiode op voor automatische ontgrendeling nadat een account is geblokkeerd.
-
Dwing sterke wachtwoorden af
-
Schakel veelgebruikte en standaardaccounts uit, bijvoorbeeld beheerder, admin of root
-
Whitelist specifieke gebruikers en groepen om aanmelden via RDP toe te staan
-
Whitelist specifieke IP-adressen om een RDP-verbinding toe te staan
-
-
-
Best practices voor Remote Desktop Protocol tegen aanvallen
Op versleuteling gebaseerde malware krijgt vaak toegang tot doelmachines met behulp van het hulpprogramma Remote Desktop Protocol (RDP) dat is geïntegreerd in Windows. Met RDP kunnen anderen op afstand verbinding maken met je systeem, dus de aanvaller kan RDP misbruiken om de beveiliging te verwijderen en vervolgens de malware te implementeren.
We raden je aan om Remote Desktop Protocol uit te schakelen of te wijzigen. Als je het gebruik van RDP niet nodig hebt, kun je de standaardpoort (3389) wijzigen of RDP uitschakelen om je machine te beschermen tegen ransomware en andere RDP-exploits. Ga voor instructies over het uitschakelen van RDP naar het betreffende Microsoft Knowledge Base-artikel hieronder:
Voor meer informatie over RDP, zie het volgende WeLiveSecurity artikel: Remote Desktop (RDP) Hacking 101: Ik kan jouw bureaublad vanaf hier zien!
-
Bescherm uw ESET productinstellingen met een wachtwoord
Als je een zakelijke gebruiker bent, raden we je aan een wachtwoord te gebruiken om te voorkomen dat het ESET-product wordt gewijzigd door een aanvaller. Dit voorkomt het wijzigen van instellingen door onbevoegden, het uitschakelen van de beveiliging of zelfs het verwijderen van het ESET product. Als u RDP gebruikt, raden we u aan een ander wachtwoord te gebruiken dan het wachtwoord dat wordt gebruikt voor de RDP aanmeldingsgegevens.
Zie voor meer informatie hoe uw ESET-product met een wachtwoord te beveiligen.
Kunnen versleutelde bestanden worden hersteld?
Moderne ransomware versleutelt gegevens met behulp van asymmetrische methoden en meerdere soorten versleutelingscodes. Kortom, bestanden worden versleuteld met een openbare sleutel en kunnen niet worden ontsleuteld zonder de bijbehorende privésleutel. Bij de huidige ransomware bevindt de privésleutel zich nooit op het getroffen werkstation of de getroffen omgeving. Dit betekent dat gegevens moeten worden hersteld vanaf een goede back-up die vóór de infectie is gemaakt.
Als er geen back-ups beschikbaar zijn, kun je proberen bestanden te herstellen van schaduwkopieën. Je kunt Shadow Explorer gebruiken, dat je kunt downloaden van de volgende webpagina: http://www.shadowexplorer.com/downloads.html
Het is echter niet ongewoon dat ransomware-infecties schaduwkopieën verwijderen om herstel van bestanden te voorkomen.
Welke stappen moet je nemen als je geïnfecteerd bent met ransomware?
-
Koppel de computer los van het netwerk.
-
Zoek het TXT- of HTML-bestand met de betalingsinstructies, bijvoorbeeld "Hoe decoderen" gedeelde mappen/schijven die zijn versleuteld. Dit kan door onze malwareonderzoekers worden gebruikt voor verdere analyse.
-
Neem contact op met uw lokale ESET-partner voor ondersteuning.
