Problem
- Chcesz skorzystać z najlepszych praktyk, aby skonfigurować system w celu ochrony przed złośliwym oprogramowaniem ransomware
- Ogólne najlepsze praktyki ESET dotyczące ochrony przed oprogramowaniem ransomware
- Ogólne praktyki ochrony przed oprogramowaniem ransomware
- Odzyskiwanie zaszyfrowanych plików
Szczegóły
Kliknij, aby rozwinąć
Ransomware to złośliwe oprogramowanie, które może zablokować urządzenie lub zaszyfrować jego zawartość w celu wyłudzenia pieniędzy od właściciela w zamian za przywrócenie dostępu do tych zasobów. Ten rodzaj złośliwego oprogramowania może mieć również wbudowany licznik czasu z terminem płatności, który musi zostać dotrzymany; w przeciwnym razie cena za odblokowanie danych i sprzętu wzrośnie - lub informacje i urządzenie zostaną ostatecznie trwale niedostępne.
Ransomware to infekcje, które szyfrują pliki osobiste i dane. Zazwyczaj infekowana jest stacja robocza, a następnie oprogramowanie ransomware próbuje zaszyfrować wszystkie zmapowane dyski współdzielone. Może to sprawiać wrażenie, że infekcja rozprzestrzenia się w sieci, podczas gdy tak nie jest.
Podczas gdy pliki mogą być zaszyfrowane, system może nie być zainfekowany. Jest to możliwe, gdy dysk współdzielony na serwerze plików jest zaszyfrowany, ale sam serwer nie zawiera infekcji złośliwym oprogramowaniem (chyba że jest to serwer terminali).
Inne przykłady znanego oprogramowania ransomware to:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) lub infekcja Win32/Filecoder.Locky.A po otwarciu wiadomości e-mail z nieznanego źródła lub plików ZIP z takiej wiadomości e-mail
- "CryptoLocker", "Cryptowall", "Dirty decrypt" i "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Rozwiązanie
Obecne wersje produktów ESET wykorzystują wiele warstw technologii do ochrony komputerów przed oprogramowaniem ransomware.
Przykładami tych technologii są Advanced Memory Scanner, ESET LiveGrid® Reputation System i Exploit Blocker.
Dodatkowo, najnowsze produkty ESET zapewniają ulepszony moduł Botnet Protection, który blokuje komunikację między oprogramowaniem ransomware a serwerami Command and Control (C&C).
Ogólne najlepsze praktyki ESET w zakresie ochrony przed ransomware
-
Zaawansowany skaner pamięci i blokada exploitów powinny być włączone
Te dwie funkcje są domyślnie włączone w produktach ESET w wersji 5 i nowszych. Te nowo zaprojektowane algorytmy ESET wzmacniają ochronę przed złośliwym oprogramowaniem, które zostało zaprojektowane w celu uniknięcia wykrycia przez produkty antywirusowe poprzez zastosowanie zaciemniania i/lub szyfrowania.
Zaawansowany skaner pamięci wyszukuje podejrzane zachowania po odblokowaniu złośliwego oprogramowania w pamięci, a bloker explo itów wzmacnia ochronę przed ukierunkowanymi atakami i wcześniej niewidocznymi lukami, znanymi również jako luki zero-day.
W celu zapewnienia maksymalnej ochrony zalecamy aktualizację produktów ESET do najnowszej wersji:
-
użytkownicy domowi: Który produkt ESET posiadam i czy jest to najnowsza wersja? (Użytkownicy domowi) -
użytkownicy biznesowi: Czy mam najnowszą wersję produktów biznesowych ESET?
-
-
Utrzymuj włączoną usługę ESET LiveGrid
ESET Cloud Malware Protection System opiera się na ESET LiveGrid. Monitoruje on nieznane i potencjalnie złośliwe aplikacje oraz poddaje próbki automatycznemu sandboxingowi i analizie behawioralnej.
Upewnij się, że System oceny reputacji i opinii ESET LiveGrid® jest włączony i działa w Twoim produkcie ESET.
-
Aktualizuj program ESET
Nowe warianty istniejącego oprogramowania ransomware są często wydawane, dlatego ważne jest, aby regularnie otrzymywać aktualizacje bazy danych wirusów (produkt ESET będzie sprawdzał dostępność aktualizacji co godzinę, pod warunkiem, że masz ważną licencję i działające połączenie internetowe).
-
użytkownicy domowi : Update ESET Products-check for latest product modules
-
użytkownicy biznesowi : Zaktualizuj produkty ESET dla punktów końcowych na stacjach roboczych poszczególnych klientów - sprawdź najnowsze moduły produktów
-
-
Użytkownicy maszyn wirtualnych
Aby zapewnić najlepszą ochronę przed złośliwym oprogramowaniem ransomware, zalecamy korzystanie z ESET Endpoint Security w środowiskach wirtualnych.
-
Upewnij się, że masz włączoną Osłonę przed ransomware
Ransomware Shield jako część technologii Self-Defense to kolejna warstwa ochrony, która działa jako część funkcji HIPS. Aby uzyskać więcej informacji, zobacz Osłona przed oprogramowaniem wymuszającym okup w Słowniczku ESET i jak ją skonfigurować w produktach ESET.
-
Skonfiguruj dodatkowe ustawienia w celu ochrony przed oprogramowaniem ransomware w produktach biznesowych ESET ręcznie lub za pomocą programu ESET PROTECT On-Prem/ESET PROTECT Policy
-
Powiadomienia
Ogólne najlepsze praktyki w zakresie ochrony przed oprogramowaniem ransomware - minimalizowanie ryzyka związanego ze złośliwym oprogramowaniem szyfrującym (ransomware)
-
Przechowywanie kopii zapasowych systemu
Zaplanuj regularne tworzenie kopii zapasowych systemu i przechowuj co najmniej jedną taką kopię w pamięci offline, aby chronić swoją najnowszą pracę przed atakiem.
-
Uprawnienia użytkowników i ograniczenia praw
Istnieje wiele rodzajów ograniczeń, takich jak ograniczenie dostępu do danych aplikacji, a nawet niektóre, które są wstępnie wbudowane jako obiekt zasad grupy (GPO).
-
Wyłączenie plików uruchamianych z folderów AppData i LocalAppData.
-
Blokowanie wykonywania z podkatalogu Temp (domyślnie część drzewa AppData).
-
Blokowanie plików wykonywalnych uruchamianych z katalogów roboczych różnych narzędzi do dekompresji (na przykład WinZip lub 7-Zip).
Ponadto w programach ESET Endpoint Security/Antivirus, ESET Mail Security i ESET File Security można utworzyć reguły HIPS zezwalające na uruchamianie tylko niektórych aplikacji na komputerze i domyślnie blokujące wszystkie inne: Create a HIPS rule and enforce it on a client workstation using ESET PROTECT On-Prem.
-
-
Nie wyłączaj Kontroli konta użytkownika (UAC)
Nie otwieraj załączników podających się za faks, fakturę lub paragon, jeśli mają podejrzaną nazwę lub nie spodziewałeś się ich otrzymać.
Co mogę zrobić, aby zminimalizować ryzyko ataku złośliwego oprogramowania?
-
Używaj uwierzytelniania dwuskładnikowego (2FA)
Zalecamy ESET Secure Authentication.
-
Ochrona przed zagrożeniami
Zalecamy ESET LiveGuard Advanced.
-
Wyłącz makra w Microsoft Office za pomocą zasad grupy
Office 2013/2016 (poniższy link dotyczy wersji 2013, ale są to te same ustawienia dla wersji 2016): Zaplanuj ustawienia zabezpieczeń dla makr VBA dla pakietu Office
-
Aktualizuj swój system
Aby zapewnić sobie najlepszą dostępną ochronę, należy aktualizować system operacyjny i aplikacje. Zainstaluj najnowsze aktualizacje o wysokim priorytecie oferowane w narzędziu Windows Update i sprawdzaj je regularnie lub włącz funkcję automatycznych aktualizacji. Nowe aktualizacje zabezpieczeń łatają luki w systemie i zmniejszają ryzyko ataku złośliwego oprogramowania.
-
Potencjalne porty/usługi, które mogą zostać wykorzystane, jeśli pozostaną otwarte
Aby uniemożliwić nieznanemu adresowi IP przeprowadzenie udanego ataku Brute Force, zdecydowanie zalecamy zablokowanie SMB, SQL i RDP.
-
SMB
Zamknij porty udostępniania plików 135-139 i 445. Porty SMB nie powinny być wystawione na działanie Internetu.
-
SQL
Biała lista zaufanych adresów IP, które mogą łączyć się z SQL
-
RDP
-
Zatrzymaj zewnętrzne ataki RDP Brute Force, zamykając RDP dla połączeń zewnętrznych. Użyj VPN z uwierzytelnianiem dwuskładnikowym, aby połączyć się z siecią wewnętrzną.
-
Ustaw automatyczną blokadę konta po określonej liczbie nieudanych prób. Uwzględnij okres oczekiwania na automatyczne odblokowanie po zablokowaniu konta.
-
Wymuszanie silnych haseł
-
Wyłączanie często nieużywanych i domyślnych kont, na przykład administratora, administratora lub roota
-
Umieszczanie na białej liście określonych użytkowników i grup w celu umożliwienia logowania przy użyciu RDP
-
Umieszczanie na białej liście określonych adresów IP w celu umożliwienia połączenia RDP
-
-
-
Najlepsze praktyki protokołu pulpitu zdalnego przed atakami
Złośliwe oprogramowanie oparte na szyfrowaniu często uzyskuje dostęp do komputerów docelowych za pomocą narzędzia Remote Desktop Protocol (RDP) zintegrowanego z systemem Windows. RDP umożliwia innym osobom zdalne łączenie się z systemem, więc atakujący może nadużywać RDP do usuwania ochrony, a następnie wdrażania złośliwego oprogramowania.
Zalecamy wyłączenie lub zmianę protokołu Remote Desktop Protocol. Jeśli nie potrzebujesz korzystać z RDP, możesz zmienić domyślny port (3389) lub wyłączyć RDP, aby chronić swój komputer przed oprogramowaniem ransomware i innymi exploitami RDP. Aby uzyskać instrukcje dotyczące wyłączania RDP, odwiedź odpowiedni artykuł Microsoft Knowledge Base poniżej:
Więcej informacji na temat RDP można znaleźć w następującym artykule WeLiveSecurity: Pulpit zdalny (RDP) Hacking 101: Mogę zobaczyć twój pulpit stąd!
-
Zabezpieczanie hasłem ustawień produktu ESET
Jeśli jesteś użytkownikiem biznesowym, zalecamy użycie hasła w celu ochrony produktu ESET przed zmianą przez atakującego. Zapobiega to nieuwierzytelnionej modyfikacji ustawień, wyłączeniu ochrony, a nawet odinstalowaniu produktu ESET. W przypadku korzystania z protokołu RDP zalecamy użycie innego hasła niż hasło używane do poświadczeń logowania RDP.
Więcej informacji można znaleźć na stronie how to protect your ESET product with a password.
Czy zaszyfrowane pliki można odzyskać?
Nowoczesne oprogramowanie ransomware szyfruje dane przy użyciu metod asymetrycznych i wielu rodzajów szyfrów. Krótko mówiąc, pliki są szyfrowane za pomocą klucza publicznego i nie można ich odszyfrować bez powiązanego klucza prywatnego. W przypadku obecnego oprogramowania ransomware klucz prywatny nigdy nie znajduje się na zaatakowanej stacji roboczej lub środowisku. Oznacza to, że dane będą musiały zostać przywrócone z dobrej kopii zapasowej wykonanej przed infekcją.
Jeśli kopie zapasowe nie są dostępne, można spróbować odzyskać pliki z kopii w tle. Można użyć programu Shadow Explorer, który można pobrać z następującej strony internetowej: http://www.shadowexplorer.com/downloads.html
Nierzadko jednak infekcje ransomware usuwają kopie w tle, aby uniemożliwić odzyskanie plików.
Jakie kroki należy podjąć w przypadku infekcji ransomware?
-
Odłącz komputer od sieci.
-
Zlokalizować plik TXT lub HTML z instrukcjami dotyczącymi płatności, na przykład "Jak odszyfrować" zaszyfrowane foldery współdzielone/dyski. Może to zostać wykorzystane przez naszych badaczy złośliwego oprogramowania do dalszej analizy.
