[KB3433] Лучшие методы защиты от вымогательства

• Вы хотите использовать лучшие практики для настройки системы на защиту от вредоносных программ-вымогателей
• Общие рекомендации по защите от вредоносного ПО для приложений ESET
• Общие методы защиты от вредоносного ПО
• Восстановление зашифрованных файлов

В текущих версиях приложений ESET используются многоуровневые технологии для защиты компьютеров от программ-вымогателей.

Примерами таких технологий являются Advanced Memory Scanner, система репутации ESET LiveGrid® и Exploit Blocker.

Кроме того, в новейших приложениях ESET реализован усовершенствованный модуль Botnet Protection, блокирующий связь между вымогательскими программами и серверами командования и управления (C&C).

Общие рекомендации по борьбе с вымогательским ПО в приложениях ESET

• Включите обнаружение PUA (потенциально нежелательных приложений)

Следуйте инструкциям в статье по ссылке обнаружить нежелательные, небезопасные и подозрительные приложения, такие как инструменты RMM (удаленного мониторинга и управления), уязвимые драйверы, сетевые сканеры и другие программы, которые могут представлять угрозу безопасности вашей системы. Хотя эти инструменты могут быть доверенными, подписанными и легитимными, даже встроенными в систему утилитами, они широко используются злоумышленниками во время вторжений вымогателей. Дополнительная информация о потенциально нежелательных приложениях и потенциально нежелательном содержимом.

• Держите включенными Advanced Memory Scanner и Exploit Blocker

  Эти новые алгоритмы ESET усиливают защиту от вредоносных программ, которые были разработаны для обхода обнаружения антивирусными продуктами с помощью обфускации и/или шифрования.

  Advanced Memory Scanner ищет подозрительное поведение после того, как вредоносное ПО разблокируется в памяти, а Exploit Blocker усиливает защиту от целевых атак и ранее невидимых уязвимостей, также известных как уязвимости нулевого дня.

  Для обеспечения максимальной защиты мы рекомендуем обновить приложения ESET до последней версии:

  • Домашние пользователи: Проверьте наличие последней версии продукта ESET для дома или малого офиса (Windows)
  • Бизнес-пользователи: Проверьте последнюю версию продуктов ESET для бизнеса (Windows)
    
    

• Держите ESET LiveGrid® включенным

  Система защиты от вредоносного ПО ESET Cloud основана на ESET LiveGrid®. Она отслеживает неизвестные и потенциально вредоносные приложения и подвергает образцы автоматической "песочнице" и поведенческому анализу.

  Убедитесь, что Репутация ESET LiveGrid® и система отзывов ESET LiveGrid® включены и работают в вашем продукте ESET.

• Постоянно обновляйте ESET

  Новые варианты существующих программ-вымогателей появляются часто, поэтому важно регулярно получать обновления вирусных баз (приложение ESET будет проверять наличие обновлений каждый час, при условии наличия действующей подписки и рабочего подключения к Интернету).

  • Домашние пользователи: Обновление продукта ESET Windows для дома или малого офиса
  • Бизнес-пользователи: Обновление продуктов ESET для конечных точек на отдельных клиентских рабочих станциях - проверьте наличие последних модулей продукта
    
    

• Пользователи виртуальных машин

  Для наилучшей защиты от вредоносных программ-вымогателей мы рекомендуем использовать ESET Endpoint Security для Windows в виртуальных средах.

• Убедитесь, что у вас включен Ransomware Shield

  Ransomware Shield, являясь частью технологии Self-Defense, представляет собой еще один уровень защиты, который работает как часть функции HIPS. Дополнительные сведения см. в разделе Ransomware Shield в глоссарии ESET и о том, как настроить его в приложениях ESET.

• Настройте дополнительные параметры защиты от программ-вымогателей в бизнес-продуктах ESET вручную или с помощью ESET PROTECT On-Prem/ESET PROTECT Policy

  • Настройка правил HIPS для бизнес-продуктов ESET
  • Настройка правил брандмауэра для ESET Endpoint Security
  • Настройка ESET Mail Security для Microsoft Exchange Server
    
    

• Уведомления

  • Уведомления ESET LiveGuard Advanced об обнаруженных угрозах

Минимизируйте риск заражения вредоносным ПО на основе шифрования (ransomware)

• Сохраняйте резервные копии системы

  Планируйте регулярное резервное копирование системы и храните хотя бы одну резервную копию в автономном режиме, чтобы защитить последние наработки от атак.

• Разрешения пользователей и ограничение прав

  Существует множество типов ограничений, таких как ограничение доступа к данным приложений и даже некоторые из них, предварительно созданные в виде объекта групповой политики (GPO).

  • Запрет запуска файлов из папок AppData и LocalAppData.
  • Блокировать выполнение из подкаталога Temp (по умолчанию входит в дерево AppData).
  • Блокировать запуск исполняемых файлов из рабочих каталогов различных утилит распаковки (например, WinZip или 7-Zip).
  • Кроме того, в ESET Endpoint Security для Windows, ESET Mail Security для Microsoft Exchange Server и ESET Server Security для Microsoft Windows Server можно создавать правила HIPS, разрешающие запуск на компьютере только определенных приложений и блокирующие все остальные по умолчанию: Создание правила HIPS и его применение на клиентской рабочей станции с помощью ESET PROTECT On-Prem.
    
    

• Не отключайте контроль учетных записей пользователей (UAC)

  Не открывайте вложения, выдаваемые за факс, счет или квитанцию, если они имеют подозрительное название или вы не ожидали их получить.

  Минимизируйте риск атаки вредоносного ПО.

• Используйте двухфакторную аутентификацию (2FA)

  Мы рекомендуем ESET Secure Authentication, которую можно использовать как облачный или локальный компонент. Дополнительную информацию можно найти в онлайн-справке ESET .

• Защита от угроз

  Мы рекомендуем ESET LiveGuard Advanced.

• Отключение макросов (VBA) в Microsoft Office с помощью групповой политики

  Microsoft Office 2019 и более ранние версии: Планирование параметров безопасности для макросов VBA в Office

  Microsoft Office 365 использует службу Office Cloud Policy Service (OCPS) для применения политик, блокирующих выполнение макросов в файлах Office из Интернета.

• Поддерживайте систему в актуальном состоянии

  Чтобы обеспечить наилучшую защиту, поддерживайте операционную систему и приложения в актуальном состоянии. Установите последние высокоприоритетные обновления, предлагаемые средством Windows Update, и регулярно проверяйте их или включите функцию автоматического обновления. Новые обновления безопасности устраняют уязвимости системы и снижают риск атак вредоносного ПО.

• Потенциальные порты/службы, которые могут быть использованы, если оставить их открытыми

  Чтобы предотвратить успешные атаки грубой силы с неизвестных IP-адресов, мы настоятельно рекомендуем заблокировать SMB, SQL и RDP.

  Служба	Рекомендации
  SMB	Закройте порты обмена файлами 135-139 и 445. Порты SMB не должны быть открыты для доступа в Интернет.
  SQL	Внесите в белый список доверенные IP-адреса, которым разрешено подключаться к SQL.
  RDP	Пресекайте внешние атаки методом грубой силы на RDP, закрывая RDP для внешних подключений. Используйте VPN с двухфакторной аутентификацией для подключения к внутренней сети.
  	Установите автоматическую блокировку учетной записи после определенного количества неудачных попыток с периодом ожидания перед разблокировкой.
  	Применяйте надежные пароли.
  	Отключите неиспользуемые или используемые по умолчанию учетные записи (administrator, admin, root).
  	Заносить в белый список определенных пользователей и групп для входа по RDP.
  	Внесите в белый список определенные IP-адреса, чтобы разрешить RDP-соединение.

• Лучшие методы защиты протокола удаленного рабочего стола от атак

  Вредоносные программы, основанные на шифровании, часто получают доступ к целевым машинам через протокол удаленного рабочего стола (RDP), встроенный в Windows. RDP позволяет другим пользователям удаленно подключаться к вашей системе, поэтому злоумышленник может использовать RDP для снятия защиты и последующего развертывания вредоносного ПО.

  Мы рекомендуем отключить или изменить протокол удаленного рабочего стола. Если вам не требуется использование RDP, вы можете изменить порт по умолчанию (3389) или отключить RDP, чтобы защитить свою машину от программ-вымогателей и других RDP-эксплойтов. Инструкции по отключению RDP можно найти в соответствующей статье базы знаний Microsoft:

  • Windows 11
  • Windows 10
  
  

  Дополнительные сведения о RDP см. в следующей статье WeLiveSecurity: Защита RDP и удаленного доступа.

• Защита паролем настроек приложений ESET

  Если вы являетесь бизнес-пользователем, мы рекомендуем использовать пароль для защиты приложения ESET от несанкционированных изменений со стороны злоумышленников. Это предотвратит изменение настроек без аутентификации, отключение защиты или даже удаление продукта ESET. Если вы используете RDP, рекомендуется использовать пароль, отличный от того, который используется для входа в систему RDP.

  Дополнительные сведения см. в статье как защитить приложение ESET с помощью пароля.

Можно ли восстановить зашифрованные файлы?

Современные программы-вымогатели шифруют данные с помощью асимметричного шифрования и нескольких алгоритмов шифрования. Короче говоря, файлы шифруются с помощью открытого ключа, и их невозможно расшифровать без соответствующего закрытого ключа. В современных программах-вымогателях закрытый ключ никогда не находится на пораженной рабочей станции или в среде. Это означает, что данные придется восстанавливать из резервной копии, созданной до заражения.

Если резервные копии недоступны, можно попытаться восстановить файлы из теневых копий. Скачайте программу Shadow Explorer.

Однако нередко при заражении вымогательскими программами Теневые копии удаляются, что препятствует восстановлению файлов.

Какие действия следует предпринять, если компьютер заражен программой-вымогателем?

1. Отключите компьютер от сети.

2. Найдите TXT- или HTML-файл с инструкциями по оплате, например "Как расшифровать" общие папки/зашифрованные диски. исследователи вредоносного ПО могут использовать его для дальнейшего анализа.

3. Обратитесь за поддержкой к местному партнеру ESET.