Problemstilling
- Du ønsker å bruke de beste fremgangsmåtene for å konfigurere systemet ditt for å beskytte mot løsepengevirus
- Generelle ESET-produkters beste praksis for beskyttelse mot løsepengevirus
- Generelle fremgangsmåter mot løsepengevirus
- Gjenopprette krypterte filer
Detaljer
Klikk for å utvide
Løsepengevirus er skadelig programvare som kan låse en enhet eller kryptere innholdet for å presse penger fra eieren i bytte mot å gjenopprette tilgangen til disse ressursene. Denne typen skadevare kan også ha en innebygd timer med en betalingsfrist som må overholdes, ellers vil prisen for å låse opp data og maskinvare øke - eller så vil informasjonen og enheten til slutt bli gjort permanent utilgjengelig.
Løsepengevirus er infeksjoner som krypterer personlige filer og datafiler. Vanligvis blir en arbeidsstasjon infisert, og løsepengeviruset vil deretter forsøke å kryptere alle tilordnede delte stasjoner. Dette kan få det til å se ut som om infeksjonen sprer seg gjennom nettverket ditt, selv om den ikke gjør det.
Selv om filene dine kan være kryptert, er det ikke sikkert at systemet ditt er infisert. Dette er mulig når en delt stasjon på en filserver er kryptert, men selve serveren ikke inneholder skadevareinfeksjonen (med mindre det er en terminalserver).
Andre eksempler på kjente løsepengevirus er
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) eller Win32/Filecoder.Locky.A-infeksjon etter åpning av en e-post fra en ukjent kilde eller ZIP-filer fra en slik e-post
- "CryptoLocker", "Cryptowall", "Dirty decrypt", og "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Løsning
De nyeste versjonene av ESET-produkter bruker flere lag med teknologier for å beskytte datamaskiner mot løsepengevirus.
Eksempler på disse teknologiene er Advanced Memory Scanner, ESET LiveGrid® Reputation System og Exploit Blocker.
I tillegg har de nyeste ESET-produktene en forbedret Botnet Protection-modul som blokkerer kommunikasjonen mellom løsepengevirus og Command and Control (C&C)-servere.
Generelle ESET-produkters beste praksis mot løsepengevirus
-
Hold Advanced Memory Scanner og Exploit Blocker aktivert
Disse to funksjonene er aktivert som standard i ESET-produkter versjon 5 og nyere. Disse nyutviklede ESET-algoritmene styrker beskyttelsen mot skadelig programvare som er utviklet for å unngå å bli oppdaget av anti-skadevareprodukter ved bruk av tilsløring og/eller kryptering.
Advanced Memory Scanner ser etter mistenkelig oppførsel etter at skadevaren har dekryptert i minnet, og Exploit Blocker styrker beskyttelsen mot målrettede angrep og tidligere usynlige sårbarheter, også kjent som nulldagssårbarheter.
For maksimal beskyttelse anbefaler vi at du oppgraderer ESET-produktene dine til den nyeste versjonen:
-
Hold ESET LiveGrid aktivert
ESET Cloud Malware Protection System er basert på ESET LiveGrid. Det overvåker ukjente og potensielt skadelige programmer og utsetter prøver for automatisk sandboxing og atferdsanalyse.
Sørg for at ESET LiveGrid®-omdømme og ESET LiveGrid®-tilbakemeldingssystem er aktivert og fungerer i ESET-produktet ditt.
-
Hold ESET oppdatert
Nye varianter av eksisterende løsepengevirus lanseres ofte, så det er viktig at du mottar regelmessige oppdateringer av virusdatabasen (ESET-produktet ditt vil se etter oppdateringer hver time, forutsatt at du har en gyldig lisens og en fungerende Internett-tilkobling).
-
Brukere av virtuelle maskiner
For å få best mulig beskyttelse mot løsepengevirus anbefaler vi bruk av ESET Endpoint Security i virtuelle miljøer.
-
Sørg for at du har aktivert Ransomware Shield
Ransomware Shield som en del av Self-Defense-teknologien er et annet beskyttelseslag som fungerer som en del av HIPS-funksjonen. Hvis du vil ha mer informasjon, kan du se Ransomware Shield i ESET Glossary og hvordan du konfigurerer det i ESET-produkter.
-
Konfigurer ytterligere innstillinger for å beskytte mot løsepengevirus i ESET Business-produkter manuelt eller ved hjelp av ESET PROTECT On-Prem/ESET PROTECT Policy
-
Varsler
hjemmebrukere: 
bedriftsbrukere: Beste praksis mot løsepengevirus - Minimer risikoen for krypteringsbasert skadelig programvare (løsepengevirus)
-
Ta sikkerhetskopier av systemet ditt
Ta sikkerhetskopier av systemet ditt regelmessig, og oppbevar minst én sikkerhetskopi i frakoblet modus for å beskytte det nyeste arbeidet ditt mot angrep.
-
Brukertillatelser og begrensning av rettigheter
Det finnes mange typer begrensninger, for eksempel begrensning av tilgang til applikasjonsdata, og til og med noen som er forhåndsbygd som et Group Policy Object (GPO).
-
Deaktiver filer som kjøres fra mappene AppData og LocalAppData.
-
Blokker kjøring fra Temp-underkatalogen (en del av AppData-treet som standard).
-
Blokker kjørbare filer som kjører fra arbeidskatalogene til ulike dekomprimeringsverktøy (for eksempel WinZip eller 7-Zip).
I tillegg kan du i ESET Endpoint Security/Antivirus, ESET Mail Security og ESET File Security opprette HIPS-regler for å tillate at bare visse programmer kjører på datamaskinen, og blokkere alle andre som standard: Opprett en HIPS-regel og håndhev den på en klientarbeidsstasjon ved hjelp av ESET PROTECT On-Prem.
-
-
Ikke deaktiver brukerkontokontroll (UAC)
Ikke åpne vedlegg som utgir seg for å være en faks, faktura eller kvittering hvis de har et mistenkelig navn, eller hvis du ikke forventer å motta dem.
Hva kan jeg gjøre for å minimere risikoen for et angrep fra skadelig programvare?
-
Bruk tofaktorautentisering (2FA)
Vi anbefaler ESET Secure Authentication.
-
Trusselforsvar
Vi anbefaler ESET LiveGuard Advanced.
-
Deaktiver makroer i Microsoft Office via gruppepolicy
Office 2013/2016 (følgende lenke er for 2013, men innstillingene er de samme for 2016): Planlegg sikkerhetsinnstillinger for VBA-makroer for Office
-
Hold systemet ditt oppdatert
For å sikre at du har den beste beskyttelsen som er tilgjengelig, bør du holde operativsystemet og programmene oppdatert. Installer de nyeste høyprioriterte oppdateringene som tilbys i Windows Update-verktøyet, og sjekk regelmessig eller aktiver funksjonen for automatiske oppdateringer. Nye sikkerhetsoppdateringer lapper systemets sårbarheter og reduserer risikoen for angrep fra skadelig programvare.
-
Potensielle porter/tjenester som kan utnyttes hvis de står åpne
For å forhindre at en ukjent IP-adresse kan utføre vellykkede Brute Force-angrep, anbefaler vi på det sterkeste at SMB, SQL og RDP låses.
-
SMB
Steng fildelingsportene 135-139 og 445. SMB-porter skal ikke være eksponert mot Internett.
-
SQL
Whitelist pålitelige IP-adresser som har tillatelse til å koble til SQL
-
RDP
-
Stopp Brute Force-angrep på RDP utenfra ved å stenge RDP for eksterne tilkoblinger. Bruk et VPN med tofaktorautentisering for å koble til det interne nettverket.
-
Angi automatisk sperring av kontoer etter et visst antall mislykkede forsøk. Inkluder en ventetid for automatisk opplåsing etter at en konto er låst.
-
Håndhev sterke passord
-
Deaktiver vanlige ubrukte og standardkontoer, for eksempel administrator, admin eller root
-
Hviteliste spesifikke brukere og grupper for å tillate pålogging ved hjelp av RDP
-
Hviteliste spesifikke IP-adresser for å tillate en RDP-tilkobling
-
-
-
Beste praksis for å beskytte Remote Desktop Protocol mot angrep
Krypteringsbasert skadelig programvare får ofte tilgang til måldatamaskiner ved hjelp av RDP-verktøyet (Remote Desktop Protocol) som er integrert i Windows. RDP gjør det mulig for andre å koble seg til systemet ditt eksternt, slik at angriperen kan misbruke RDP til å fjerne beskyttelsen og deretter distribuere skadevaren.
Vi anbefaler at du deaktiverer eller endrer Remote Desktop Protocol. Hvis du ikke trenger å bruke RDP, kan du endre standardporten (3389) eller deaktivere RDP for å beskytte maskinen mot løsepengevirus og andre RDP-utnyttelser. Hvis du vil ha instruksjoner om hvordan du deaktiverer RDP, kan du gå til den aktuelle artikkelen i Microsoft Knowledge Base nedenfor:
For mer informasjon om RDP, se følgende WeLiveSecurity-artikkel: Remote Desktop (RDP) Hacking 101: Jeg kan se skrivebordet ditt herfra!
-
Passordbeskytt ESET-produktinnstillingene dine
Hvis du er en bedriftsbruker, anbefaler vi at du bruker et passord for å beskytte ESET-produktet mot å bli endret av en angriper. Dette forhindrer uautorisert endring av innstillinger, deaktivering av beskyttelsen eller til og med avinstallering av ESET-produktet. Hvis du bruker RDP, anbefaler vi at du bruker et annet passord enn det som brukes til RDP-påloggingsinformasjonen.
For mer informasjon, se hvordan du beskytter ESET-produktet ditt med et passord.
Kan krypterte filer gjenopprettes?
Moderne løsepengevirus krypterer data ved hjelp av asymmetriske metoder og flere typer krypteringschiffer. Kort sagt krypteres filene med en offentlig nøkkel, og de kan ikke dekrypteres uten den tilhørende private nøkkelen. Med dagens løsepengevirus befinner den private nøkkelen seg aldri på den berørte arbeidsstasjonen eller i det berørte miljøet. Dette betyr at data må gjenopprettes fra en god sikkerhetskopi som ble tatt før infeksjonen.
Hvis ingen sikkerhetskopier er tilgjengelige, kan du forsøke å gjenopprette filer fra skyggekopier. Du kan bruke Shadow Explorer, som du kan laste ned fra følgende nettside: http://www.shadowexplorer.com/downloads.html
Det er imidlertid ikke uvanlig at ransomware-infeksjoner sletter skyggekopier for å forhindre gjenoppretting av filer.
Hva bør du gjøre hvis du er infisert med løsepengevirus?
-
Koble datamaskinen fra nettverket.
-
Finn TXT- eller HTML-filen med betalingsinstruksjonene, for eksempel "Slik dekrypterer du" delte mapper/disker som er kryptert. Dette kan brukes av våre malware-forskere for videre analyse.
