Problemstilling
- Du ønsker å bruke de beste fremgangsmåtene for å konfigurere systemet ditt for å beskytte mot løsepengevirus
- Beste praksis for ESET-applikasjoner mot løsepengevirus
- Generelle fremgangsmåter mot løsepengevirus
- Gjenopprette krypterte filer
Detaljer
Klikk for å utvide
Løsepengevirus er skadevare som kan låse en enhet eller kryptere innholdet for å presse penger fra eieren i bytte mot å gjenopprette tilgangen til disse ressursene. Denne typen skadevare kan også inneholde en innebygd timer med en betalingsfrist som må overholdes, ellers vil prisen for å låse opp data og maskinvare øke, eller så vil informasjonen og enheten til slutt bli gjort permanent utilgjengelig.
Løsepengevirus er en infeksjon som krypterer personlige filer og datafiler. Vanligvis blir en arbeidsstasjon infisert, og deretter vil løsepengeviruset forsøke å kryptere alle tilordnede delte stasjoner. Dette kan få det til å se ut som om infeksjonen sprer seg gjennom nettverket ditt, selv om den ikke gjør det.
Selv om filene dine kan være kryptert, er det ikke sikkert at systemet ditt er infisert. Dette er mulig når en delt stasjon på en filserver er kryptert, men selve serveren ikke inneholder skadevareinfeksjonen (med mindre det er en terminalserver).
Andre eksempler på kjente løsepengevirus er
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) eller "Win32/Filecoder.Locky.A"-infeksjon etter åpning av en e-post fra en ukjent kilde eller ZIP-filer fra en slik e-post
- "CryptoLocker", "Cryptowall", "Dirty decrypt", og "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Løsning
De nåværende versjonene av ESET-applikasjoner bruker flere lag med teknologier for å beskytte datamaskiner mot løsepengevirus.
Eksempler på disse teknologiene er Advanced Memory Scanner, ESET LiveGrid® Reputation System og Exploit Blocker.
I tillegg har de nyeste ESET-applikasjonene en forbedret Botnet Protection-modul som blokkerer kommunikasjonen mellom løsepengevirus og Command and Control (C&C)-servere.
Generelle ESET-applikasjoner mot løsepengevirus - beste praksis
- Aktiver deteksjon av PUA (potensielt uønskede programmer)
Følg instruksjonene i den lenkede artikkelen for å detect unwanted, unsafe, and suspicious applications, for eksempel RMM-verktøy (remote monitoring and management), sårbare drivere, nettverksskannere og annen programvare som kan utgjøre en sikkerhetsrisiko for systemet ditt. Selv om disse verktøyene kan være pålitelige, signerte og legitime, til og med innebygde systemverktøy, misbrukes de i stor grad av angripere under ransomware-angrep. Mer informasjon om potensielt uønskede programmer og potensielt uønsket innhold.
-
Hold Advanced Memory Scanner og Exploit Blocker aktivert
Disse nyutviklede ESET-algoritmene styrker beskyttelsen mot skadelig programvare som er utviklet for å unngå å bli oppdaget av antimalware-produkter ved bruk av tilsløring og/eller kryptering.
Advanced Memory Scanner ser etter mistenkelig oppførsel etter at skadevaren er dekryptert i minnet, og Exploit Blocker styrker beskyttelsen mot målrettede angrep og tidligere usynlige sårbarheter, også kjent som nulldagssårbarheter.
For maksimal beskyttelse anbefaler vi at du oppgraderer ESET-applikasjonene dine til den nyeste versjonen:
-
Hold ESET LiveGrid® aktivert
ESET Cloud Malware Protection System er basert på ESET LiveGrid®. Det overvåker ukjente og potensielt skadelige programmer og utsetter prøver for automatisk sandboxing og atferdsanalyse.
Sørg for at ESET LiveGrid®-omdømme og ESET LiveGrid®-tilbakemeldingssystem er aktivert og fungerer i ESET-produktet ditt.
-
Hold ESET oppdatert
Nye varianter av eksisterende løsepengevirus lanseres ofte, så det er viktig at du mottar regelmessige virusdatabaseoppdateringer (ESET-programmet ditt vil se etter oppdateringer hver time, forutsatt at du har et gyldig abonnement og en fungerende Internett-tilkobling).
-
Brukere av virtuelle maskiner
For å få best mulig beskyttelse mot løsepengevirus anbefaler vi bruk av ESET Endpoint Security for Windows i virtuelle miljøer.
-
Sørg for at du har aktivert Ransomware Shield
Ransomware Shield, som er en del av Self-Defense-teknologien, er et annet beskyttelseslag som fungerer som en del av HIPS-funksjonen. Du finner mer informasjon under Løsepengevirusskjold i ESET-ordlisten og hvordan du konfigurerer det i ESET-applikasjoner.
-
Konfigurer ytterligere innstillinger for å beskytte mot løsepengevirus i ESET Business-produkter manuelt eller ved hjelp av ESET PROTECT On-Prem/ESET PROTECT Policy
-
Varslinger
Minimer risikoen for krypteringsbasert skadelig programvare (løsepengevirus)
-
Ta sikkerhetskopier av systemet ditt
Planlegg å sikkerhetskopiere systemet regelmessig, og oppbevar minst én sikkerhetskopi i frakoblet modus for å beskytte det siste arbeidet ditt mot angrep.
-
Brukertillatelser og begrensning av rettigheter
Det finnes mange typer begrensninger, for eksempel begrensning av tilgang til applikasjonsdata, og til og med noen som er forhåndsbygd som et Group Policy Object (GPO).
- Deaktiver filer som kjøres fra mappene AppData og LocalAppData.
- Blokker kjøring fra Temp-underkatalogen (en del av AppData-treet som standard).
- Blokker kjørbare filer som kjører fra arbeidskatalogene til ulike dekomprimeringsverktøy (for eksempel WinZip eller 7-Zip).
- I tillegg kan du i ESET Endpoint Security for Windows, ESET Mail Security for Microsoft Exchange Server og ESET Server Security for Microsoft Windows Server opprette HIPS-regler for å tillate at bare visse programmer kjører på datamaskinen, og blokkere alle andre som standard: Opprett en HIPS-regel og håndhev den på en klientarbeidsstasjon ved hjelp av ESET PROTECT On-Prem.
-
Ikke deaktiver brukerkontokontroll (UAC)
Ikke åpne vedlegg som utgir seg for å være en faks, faktura eller kvittering hvis de har et mistenkelig navn, eller hvis du ikke forventer å motta dem.
-
Bruk tofaktorautentisering (2FA)
Vi anbefaler ESET Secure Authentication, som kan brukes som en skybasert eller lokal komponent. For mer informasjon, besøk ESET Online Help.
-
Trusselforsvar
Vi anbefaler ESET LiveGuard Advanced.
-
Deaktiver makroer (VBA) i Microsoft Office via gruppepolicy
Microsoft Office 2019 og tidligere versjoner: Planlegg sikkerhetsinnstillinger for VBA-makroer for Office
Microsoft Office 365 bruker Office Cloud Policy Service (OCPS) til å håndheve policyer som blokkerer makroeksekvering i Office-filer fra Internett.
-
Hold systemet ditt oppdatert
For å sikre at du har den beste beskyttelsen som er tilgjengelig, bør du holde operativsystemet og applikasjonene oppdatert. Installer de nyeste høyprioriterte oppdateringene som tilbys i Windows Update-verktøyet, og sjekk regelmessig eller aktiver funksjonen for automatiske oppdateringer. Nye sikkerhetsoppdateringer lapper sårbarheter i systemet og reduserer risikoen for angrep fra skadelig programvare.
-
Potensielle porter/tjenester som kan utnyttes hvis de står åpne
For å forhindre at ukjente IP-adresser kan utføre vellykkede Brute-Force-angrep, anbefaler vi på det sterkeste at SMB, SQL og RDP låses ned.
Tjenesten Anbefalinger SMB Steng fildelingsportene 135-139 og 445. SMB-porter bør ikke være eksponert mot Internett. SQL Whitelist pålitelige IP-adresser som har tillatelse til å koble til SQL. RDP Stopp eksterne RDP-angrep ved å stenge RDP for eksterne tilkoblinger. Bruk et VPN med tofaktorautentisering for å koble til det interne nettverket.Angi automatisk sperring av kontoer etter et spesifisert antall mislykkede forsøk, med en ventetid før opplåsing.Håndhev sterke passord.Deaktiver ubrukte eller standardkontoer (administrator, admin, root).Hviteliste spesifikke brukere og grupper for RDP-pålogging.Hviteliste spesifikke IP-adresser for å aktivere RDP-tilkobling. -
Beste praksis mot angrep på Remote Desktop Protocol
Krypteringsbasert skadelig programvare får ofte tilgang til målmaskiner via Remote Desktop Protocol (RDP), som er innebygd i Windows. RDP gjør det mulig for andre å koble seg til systemet ditt eksternt, slik at angriperen kan misbruke RDP til å fjerne beskyttelsen og deretter distribuere skadevaren.
Vi anbefaler at du deaktiverer eller endrer Remote Desktop Protocol. Hvis du ikke trenger å bruke RDP, kan du endre standardporten (3389) eller deaktivere RDP for å beskytte maskinen mot løsepengevirus og andre RDP-utnyttelser. For instruksjoner om hvordan du deaktiverer RDP, kan du gå til den aktuelle Microsoft Knowledgebase-artikkelen nedenfor:
For mer informasjon om RDP, se følgende WeLiveSecurity-artikkel: Sikring av RDP og ekstern tilgang.
-
Passordbeskytt ESET-applikasjonsinnstillingene dine
Hvis du er en bedriftsbruker, anbefaler vi at du bruker et passord for å beskytte ESET-programmet mot uautoriserte endringer fra en angriper. Dette forhindrer uautorisert endring av innstillinger, deaktivering av beskyttelsen eller til og med avinstallering av ESET-produktet. Hvis du bruker RDP, anbefaler vi at du bruker et annet passord enn det som brukes til RDP-påloggingsinformasjonen.
For mer informasjon, se how to protect your ESET application with a password.
Kan krypterte filer gjenopprettes?
Moderne løsepengevirus krypterer data ved hjelp av asymmetrisk kryptering og flere krypteringsalgoritmer. Kort sagt krypteres filene med en offentlig nøkkel, og de kan ikke dekrypteres uten den tilhørende private nøkkelen. Med dagens løsepengevirus befinner den private nøkkelen seg aldri på den berørte arbeidsstasjonen eller i det berørte miljøet. Dette betyr at data må gjenopprettes fra en god sikkerhetskopi som ble tatt før infeksjonen.
Hvis ingen sikkerhetskopier er tilgjengelige, kan du prøve å gjenopprette filer fra skyggekopier. Last ned Shadow Explorer.
Det er imidlertid ikke uvanlig at ransomware-infeksjoner sletter skyggekopier for å forhindre gjenoppretting av filer.
Hva bør du gjøre hvis du er infisert med løsepengevirus?
-
Koble datamaskinen fra nettverket.
-
Finn TXT- eller HTML-filen med betalingsinstruksjonene, for eksempel "Slik dekrypterer du" delte mapper/disker som er kryptert.
