[KB3433] Najlepsze praktyki ochrony przed oprogramowaniem ransomware

• Chcesz skorzystać z najlepszych praktyk, aby skonfigurować system w celu ochrony przed złośliwym oprogramowaniem ransomware
• Ogólne najlepsze praktyki ESET dotyczące ochrony przed oprogramowaniem ransomware
• Ogólne praktyki ochrony przed oprogramowaniem ransomware
• Odzyskiwanie zaszyfrowanych plików

Obecne wersje aplikacji ESET wykorzystują wiele warstw technologii do ochrony komputerów przed oprogramowaniem ransomware.

Przykładami tych technologii są Advanced Memory Scanner, ESET LiveGrid® Reputation System oraz Exploit Blocker.

Dodatkowo, najnowsze aplikacje ESET zapewniają ulepszony moduł Botnet Protection, który blokuje komunikację między oprogramowaniem ransomware a serwerami Command and Control (C&C).

Ogólne najlepsze praktyki ESET w zakresie ochrony przed ransomware

• Włącz wykrywanie PUA (potencjalnie niechcianych aplikacji)

Postępuj zgodnie z instrukcjami w linkowanym artykule, aby wykryć niechciane, niebezpieczne i podejrzane aplikacje, takie jak narzędzia RMM (zdalnego monitorowania i zarządzania), podatne na ataki sterowniki, skanery sieciowe i inne oprogramowanie, które może stanowić zagrożenie dla bezpieczeństwa systemu. Chociaż narzędzia te mogą być zaufane, podpisane i legalne, nawet wbudowane narzędzia systemowe, są one powszechnie nadużywane przez atakujących podczas włamań ransomware. Więcej informacji o potencjalnie niechcianych aplikacjach i potencjalnie niechcianej zawartości.

• Pozostaw włączony Zaawansowany skaner pamięci i Blokada exploitów

  Te nowo zaprojektowane algorytmy ESET wzmacniają ochronę przed złośliwym oprogramowaniem, które zostało zaprojektowane w celu uniknięcia wykrycia przez produkty antymalware poprzez zastosowanie zaciemniania i/lub szyfrowania.

  Zaawansowany skaner pamięci wyszukuje podejrzane zachowania po odblokowaniu złośliwego oprogramowania w pamięci, a bloker exploitów wzmacnia ochronę przed ukierunkowanymi atakami i wcześniej niewidocznymi lukami, znanymi również jako luki zero-day.

  W celu zapewnienia maksymalnej ochrony zalecamy aktualizację aplikacji ESET do najnowszej wersji:

  • Użytkownicy domowi: Sprawdź najnowszą wersję produktu ESET dla domu lub małego biura (Windows)
  • Użytkownicy biznesowi: Sprawdź najnowszą wersję produktów ESET dla firm (Windows)
    
    

• Utrzymuj ESET LiveGrid® włączony

  ESET Cloud Malware Protection System jest oparty na ESET LiveGrid®. Monitoruje on nieznane i potencjalnie złośliwe aplikacje oraz poddaje próbki automatycznemu sandboxingowi i analizie behawioralnej.

  Upewnij się, że Reputacja ESET LiveGrid® i system opinii ESET LiveGrid® są włączone i działają w Twoim produkcie ESET.

• Aktualizuj program ESET

  Nowe warianty istniejącego oprogramowania ransomware są często wydawane, dlatego ważne jest, aby regularnie otrzymywać aktualizacje bazy danych wirusów (aplikacja ESET będzie sprawdzać dostępność aktualizacji co godzinę, pod warunkiem, że masz ważną subskrypcję i działające połączenie internetowe).

  • Użytkownicy domowi: Zaktualizuj swój produkt ESET Windows dla domu lub małego biura
  • Użytkownicy biznesowi: Zaktualizuj produkty ESET dla punktów końcowych na stacjach roboczych klientów indywidualnych - sprawdź najnowsze moduły produktów
    
    

• Użytkownicy maszyn wirtualnych

  Aby uzyskać najlepszą ochronę przed złośliwym oprogramowaniem ransomware, zalecamy korzystanie z ESET Endpoint Security for Windows w środowiskach wirtualnych.

• Upewnij się, że masz włączoną Osłonę przed ransomware

  Ransomware Shield, jako część technologii Self-Defense, jest kolejną warstwą ochrony, która działa jako część funkcji HIPS. Aby uzyskać więcej informacji, zobacz Osłona przed oprogramowaniem wymuszającym okup w Glosariuszu ESET i jak ją skonfigurować w aplikacjach ESET.

• Skonfiguruj dodatkowe ustawienia w celu ochrony przed oprogramowaniem ransomware w produktach biznesowych ESET ręcznie lub za pomocą ESET PROTECT On-Prem/ESET PROTECT Policy

  • Configure HIPS rules for ESET business products
  • Configure Firewall rules for ESET Endpoint Security
  • Configure ESET Mail Security for Microsoft Exchange Server
    
    

• Powiadomienia

  • Zaawansowane powiadomienia ESET LiveGuard o wykrytych zagrożeniach

Minimalizacja ryzyka związanego ze złośliwym oprogramowaniem szyfrującym (ransomware)

• Przechowywanie kopii zapasowych systemu

  Zaplanuj regularne tworzenie kopii zapasowych systemu i przechowuj co najmniej jedną kopię zapasową w pamięci offline, aby chronić swoją ostatnią pracę przed atakiem.

• Uprawnienia użytkowników i ograniczenia praw

  Istnieje wiele rodzajów ograniczeń, takich jak ograniczenie dostępu do danych aplikacji, a nawet niektóre, które są wstępnie wbudowane jako obiekt zasad grupy (GPO).

  • Wyłączenie plików uruchamianych z folderów AppData i LocalAppData.
  • Blokowanie wykonywania z podkatalogu Temp (domyślnie część drzewa AppData).
  • Blokowanie plików wykonywalnych uruchamianych z katalogów roboczych różnych narzędzi do dekompresji (na przykład WinZip lub 7-Zip).
  • Ponadto w programach ESET Endpoint Security for Windows, ESET Mail Security for Microsoft Exchange Server i ESET Server Security for Microsoft Windows Server można utworzyć reguły HIPS zezwalające na uruchamianie tylko niektórych aplikacji na komputerze i domyślnie blokujące wszystkie inne: Create a HIPS rule and enforce it on a client workstation using ESET PROTECT On-Prem.
    
    

• Nie wyłączaj Kontroli konta użytkownika (UAC)

  Nie otwieraj załączników podających się za faks, fakturę lub paragon, jeśli mają podejrzaną nazwę lub nie spodziewałeś się ich otrzymać.

  Minimalizuj ryzyko ataku złośliwego oprogramowania.

• Używaj uwierzytelniania dwuskładnikowego (2FA)

  Zalecamy ESET Secure Authentication, które może być używane jako komponent w chmurze lub lokalnie. Aby uzyskać więcej informacji, odwiedź Pomoc online ESET .

• Ochrona przed zagrożeniami

  Zalecamy ESET LiveGuard Advanced.

• Wyłączanie makr (VBA) w pakiecie Microsoft Office za pomocą zasad grupy

  Microsoft Office 2019 i wcześniejsze wersje: Planowanie ustawień zabezpieczeń dla makr VBA dla pakietu Office

  Microsoft Office 365 używa usługi Office Cloud Policy Service (OCPS) do wymuszania zasad, które blokują wykonywanie makr w plikach pakietu Office z Internetu.

• Aktualizuj swój system

  Aby zapewnić sobie najlepszą dostępną ochronę, należy aktualizować system operacyjny i aplikacje. Zainstaluj najnowsze aktualizacje o wysokim priorytecie oferowane w narzędziu Windows Update i regularnie sprawdzaj lub włącz funkcję automatycznych aktualizacji. Nowe aktualizacje zabezpieczeń łatają luki w systemie i zmniejszają ryzyko ataków złośliwego oprogramowania.

• Potencjalne porty/usługi, które mogą zostać wykorzystane, jeśli pozostaną otwarte

  Aby uniemożliwić nieznanym adresom IP przeprowadzenie udanych ataków Brute-Force, zdecydowanie zalecamy zablokowanie SMB, SQL i RDP.

  Usługa	Zalecenia
  SMB	Zamknij porty udostępniania plików 135-139 i 445. Porty SMB nie powinny być wystawione na działanie Internetu.
  SQL	Biała lista zaufanych adresów IP, które mogą łączyć się z SQL.
  RDP	Zatrzymaj zewnętrzne ataki siłowe RDP, zamykając RDP dla połączeń zewnętrznych. Użyj VPN z uwierzytelnianiem dwuskładnikowym, aby połączyć się z siecią wewnętrzną.
  	Ustaw automatyczną blokadę konta po określonej liczbie nieudanych prób, z okresem oczekiwania przed odblokowaniem.
  	Wymuszanie silnych haseł.
  	Wyłączenie nieużywanych lub domyślnych kont (administrator, admin, root).
  	Umieszczanie na białej liście określonych użytkowników i grup dla logowania RDP.
  	Umieszczanie na białej liście określonych adresów IP w celu umożliwienia połączenia RDP.

• Najlepsze praktyki protokołu pulpitu zdalnego przed atakami

  Złośliwe oprogramowanie oparte na szyfrowaniu często uzyskuje dostęp do komputerów docelowych za pośrednictwem protokołu pulpitu zdalnego (RDP) wbudowanego w system Windows. RDP umożliwia innym osobom zdalne łączenie się z systemem, więc atakujący może nadużywać RDP do usuwania ochrony, a następnie wdrażania złośliwego oprogramowania.

  Zalecamy wyłączenie lub zmianę protokołu Remote Desktop Protocol. Jeśli nie potrzebujesz korzystać z RDP, możesz zmienić domyślny port (3389) lub wyłączyć RDP, aby chronić swój komputer przed oprogramowaniem ransomware i innymi exploitami RDP. Aby uzyskać instrukcje dotyczące wyłączania RDP, odwiedź odpowiedni artykuł Microsoft Knowledgebase poniżej:

  • Windows 11
  • Windows 10
  
  

  Więcej informacji na temat RDP można znaleźć w następującym artykule WeLiveSecurity: Zabezpieczanie RDP i zdalnego dostępu.

• Zabezpieczanie hasłem ustawień aplikacji ESET

  Jeśli jesteś użytkownikiem biznesowym, zalecamy użycie hasła w celu ochrony aplikacji ESET przed nieautoryzowanymi zmianami przez atakującego. Zapobiega to nieuwierzytelnionej modyfikacji ustawień, wyłączeniu ochrony, a nawet odinstalowaniu produktu ESET. W przypadku korzystania z protokołu RDP zalecamy użycie innego hasła niż hasło używane do poświadczeń logowania RDP.

  Więcej informacji można znaleźć w how to protect your ESET application with a password.

Czy zaszyfrowane pliki można odzyskać?

Nowoczesne oprogramowanie ransomware szyfruje dane przy użyciu szyfrowania asymetrycznego i wielu algorytmów szyfrowania. Krótko mówiąc, pliki są szyfrowane za pomocą klucza publicznego i nie można ich odszyfrować bez powiązanego klucza prywatnego. W przypadku obecnego oprogramowania ransomware klucz prywatny nigdy nie znajduje się na zaatakowanej stacji roboczej lub środowisku. Oznacza to, że dane będą musiały zostać przywrócone z dobrej kopii zapasowej wykonanej przed infekcją.

Jeśli kopie zapasowe nie są dostępne, można spróbować odzyskać pliki z kopii w tle. Pobierz Shadow Explorer.

Nierzadko jednak infekcje ransomware usuwają kopie w tle, by uniemożliwić odzyskanie plików.

Jakie kroki należy podjąć w przypadku infekcji ransomware?

1. Odłącz komputer od sieci.

2. Zlokalizuj plik TXT lub HTML z instrukcjami dotyczącymi płatności, na przykład "Jak odszyfrować" zaszyfrowane foldery współdzielone/dyski. badacze złośliwego oprogramowania mogą wykorzystać to do dalszej analizy.

3. Contact your local ESET partner for support.