Problemställning
- Du vill använda de bästa metoderna för att konfigurera ditt system för att skydda mot skadlig programvara i form av ransomware
- Allmänna ESET-applikationer för bästa praxis för anti-ransomware
- Allmänna metoder mot utpressningstrojaner
- Återställa krypterade filer
Mer information
Klicka för att expandera
Ransomware är skadlig kod som kan låsa en enhet eller kryptera dess innehåll för att utpressa pengar från ägaren i utbyte mot att återställa åtkomsten till dessa resurser. Den här typen av skadlig kod kan också innehålla en inbyggd timer med en betalningsfrist som måste uppfyllas; annars kommer priset för att låsa upp data och hårdvara att öka, eller så kommer informationen och enheten i slutändan att göras permanent otillgänglig.
Ransomware är en infektion som krypterar person- och datafiler. Vanligtvis infekteras en arbetsstation och sedan försöker ransomware att kryptera alla mappade delade enheter. Detta kan få infektionen att verka som om den sprider sig genom ditt nätverk när den inte gör det.
Även om dina filer kan vara krypterade kanske ditt system inte är infekterat. Detta är möjligt när en delad enhet på en filserver är krypterad, men servern i sig inte innehåller infektionen med skadlig kod (såvida det inte är en terminalserver).
Andra exempel på kända ransomware är:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) eller "Win32/Filecoder.Locky.A"-infektion efter att ha öppnat ett e-postmeddelande från en okänd källa eller ZIP-filer från ett sådant e-postmeddelande
- "CryptoLocker", "Cryptowall", "Dirty decrypt" och "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Lösning för
De aktuella versionerna av ESET-program använder flera lager av teknik för att skydda datorer från ransomware.
Exempel på dessa tekniker är Advanced Memory Scanner, ESET LiveGrid® Reputation System och Exploit Blocker.
Dessutom innehåller de senaste ESET-programmen en förbättrad Botnet Protection-modul som blockerar kommunikationen mellan ransomware och Command and Control (C&C)-servrar.
Allmänna ESET-applikationers bästa praxis för anti-ransomware
- Aktivera detektering av PUA (potentiellt oönskade program)
Följ instruktionerna i den länkade artikeln för att detect unwanted, unsafe, and suspicious applications, till exempel RMM-verktyg (remote monitoring and management), sårbara drivrutiner, nätverksskannrar och annan programvara som kan utgöra en säkerhetsrisk för ditt system. Även om dessa verktyg kan vara betrodda, signerade och legitima, till och med inbyggda systemverktyg, missbrukas de ofta av angripare under ransomware-intrång. Mer information om potentiellt oönskade program och potentiellt oönskat innehåll.
-
Håll Advanced Memory Scanner och Exploit Blocker aktiverade
Dessa nydesignade ESET-algoritmer stärker skyddet mot skadlig kod som har utformats för att undvika upptäckt av antimalware-produkter genom användning av fördunkling och/eller kryptering.
Advanced Memory Scanner letar efter misstänkta beteenden efter att skadlig kod har avkodats i minnet och Exploit Blocker stärker skyddet mot riktade attacker och tidigare osedda sårbarheter, även kallade nolldagssårbarheter.
För maximalt skydd rekommenderar vi att du uppgraderar dina ESET-program till den senaste versionen:
-
Håll ESET LiveGrid® aktiverat
ESET Cloud Malware Protection System är baserat på ESET LiveGrid®. Det övervakar okända och potentiellt skadliga program och utsätter prover för automatisk sandboxning och beteendeanalys.
Se till att ESET LiveGrid® rykte och ESET LiveGrid® feedback-system är aktiverat och fungerar i din ESET-produkt.
-
Håll ESET uppdaterat
Nya varianter av befintlig ransomware släpps ofta, så det är viktigt att du får regelbundna uppdateringar av virusdatabasen (ditt ESET-program söker efter uppdateringar varje timme, förutsatt att du har en giltig prenumeration och en fungerande internetanslutning).
-
Användare av virtuella maskiner
För bästa möjliga skydd mot skadlig ransomware rekommenderar vi att du använder ESET Endpoint Security för Windows i virtuella miljöer.
-
Se till att du har aktiverat Ransomware Shield
Ransomware Shield, som en del av en Self-Defense-teknik, är ett annat skyddslager som fungerar som en del av HIPS-funktionen. Mer information finns i Ransomware Shield i ESET-ordlistan och i hur du konfigurerar det i ESET-program.
-
Konfigurera ytterligare inställningar för att skydda mot ransomware i ESET:s företagsprodukter manuellt eller med ESET PROTECT On-Prem/ESET PROTECT Policy
-
Notifieringar
Minimera risken för krypteringsbaserad skadlig kod (ransomware)
-
Gör säkerhetskopior av ditt system
Planera för att säkerhetskopiera ditt system regelbundet och spara minst en säkerhetskopia i offline-lagring för att skydda ditt senaste arbete från en attack.
-
Användarbehörigheter och begränsning av rättigheter
Det finns många typer av begränsningar, till exempel begränsning av åtkomst till applikationsdata och till och med vissa som är förbyggda som ett grupprincipobjekt (GPO).
- Inaktivera filer som körs från mapparna AppData och LocalAppData.
- Blockera körning från Temp-underkatalogen (en del av AppData-trädet som standard).
- Blockera körbara filer som körs från arbetskatalogerna för olika dekomprimeringsverktyg (t.ex. WinZip eller 7-Zip).
- I ESET Endpoint Security för Windows, ESET Mail Security för Microsoft Exchange Server och ESET Server Security för Microsoft Windows Server kan du dessutom skapa HIPS-regler för att endast tillåta vissa program att köras på datorn och blockera alla andra som standard: Skapa en HIPS-regel och verkställ den på en klientarbetsstation med ESET PROTECT On-Prem.
-
Inaktivera inte UAC (User Account Control)
Öppna inte bilagor som utger sig för att vara ett fax, en faktura eller ett kvitto om de har ett misstänkt namn eller om du inte förväntade dig att få dem.
-
Använd tvåfaktorsautentisering (2FA)
Vi rekommenderar ESET Secure Authentication, som kan användas som en molnbaserad eller lokal komponent. För mer information, besök ESET Online Help.
-
Försvar mot hot
Vi rekommenderar ESET LiveGuard Advanced.
-
Inaktivera makron (VBA) i Microsoft Office via grupprincip
Microsoft Office 2019 och tidigare versioner: Planera säkerhetsinställningar för VBA-makron för Office
Microsoft Office 365 använder Office Cloud Policy Service (OCPS) för att genomdriva policyer som blockerar makrokörning i Office-filer från internet.
-
Håll ditt system uppdaterat
För att säkerställa att du har det bästa tillgängliga skyddet bör du hålla operativsystemet och programmen uppdaterade. Installera de senaste högprioriterade uppdateringarna som erbjuds i Windows Update-verktyget och kontrollera regelbundet eller aktivera funktionen Automatiska uppdateringar. Nya säkerhetsuppdateringar täpper till sårbarheter i systemet och minskar risken för attacker från skadlig kod.
-
Potentiella portar/tjänster som kan utnyttjas om de lämnas öppna
För att förhindra att okända IP-adresser utför framgångsrika Brute-Force-attacker rekommenderar vi starkt att du låser SMB, SQL och RDP.
Tjänsten Rekommendationer SMB Stäng fildelningsportarna 135-139 och 445. SMB-portar ska inte vara exponerade mot internet. SQL Vitlista över betrodda IP-adresser som tillåts ansluta till SQL. RDP Stoppa externa RDP brute-force-attacker genom att stänga RDP för externa anslutningar. Använd ett VPN med tvåfaktorsautentisering för att ansluta till det interna nätverket.Ställ in automatisk låsning av konton efter ett visst antal misslyckade försök, med en väntetid innan de låses upp.Använd starka lösenord.Inaktivera oanvända konton eller standardkonton (administratör, admin, root).Vitlista specifika användare och grupper för RDP-inloggning.Vitlista specifika IP-adresser för att aktivera RDP-anslutning. -
Bästa praxis för protokoll för fjärrskrivbord mot attacker
Krypteringsbaserad skadlig kod får ofta åtkomst till måldatorer via Remote Desktop Protocol (RDP) som är inbyggt i Windows. RDP gör det möjligt för andra att fjärransluta till ditt system, så angriparen kan missbruka RDP för att ta bort skyddet och sedan distribuera skadlig kod.
Vi rekommenderar att du inaktiverar eller ändrar Remote Desktop Protocol. Om du inte behöver använda RDP kan du ändra standardporten (3389) eller inaktivera RDP för att skydda din maskin från ransomware och andra RDP-exploits. För instruktioner om hur du inaktiverar RDP, besök lämplig Microsoft Knowledgebase-artikel nedan:
För mer information om RDP, se följande WeLiveSecurity-artikel: Säkra RDP och fjärråtkomst.
-
Lösenordsskydda dina ESET-applikationsinställningar
Om du är en företagsanvändare rekommenderar vi att du använder ett lösenord för att skydda ESET-programmet från obehöriga ändringar av en angripare. Detta förhindrar oautentiserade ändringar av inställningar, inaktivering av skyddet eller till och med avinstallation av ESET-produkten. Om du använder RDP rekommenderar vi att du använder ett annat lösenord än det som används för RDP-inloggningsuppgifterna.
Mer information finns i hur du skyddar din ESET-applikation med ett lösenord.
Kan krypterade filer återställas?
Modern ransomware krypterar data med hjälp av asymmetrisk kryptering och flera krypteringsalgoritmer. Kort sagt krypteras filer med en publik nyckel och kan inte dekrypteras utan den tillhörande privata nyckeln. Med nuvarande ransomware finns den privata nyckeln aldrig på den drabbade arbetsstationen eller miljön. Detta innebär att data måste återställas från en bra säkerhetskopia som gjordes före infektionen.
Om inga säkerhetskopior finns tillgängliga kan du försöka återställa filer från skuggkopior. Ladda ner Shadow Explorer.
Det är dock inte ovanligt att ransomware-infektioner tar bort Shadow Copies för att förhindra återställning av filer.
Vilka åtgärder bör du vidta om du är infekterad med ransomware?
-
Koppla bort datorn från nätverket.
-
Leta reda på TXT- eller HTML-filen med betalningsinstruktionerna, till exempel "Hur man dekrypterar" delade mappar / enheter krypterade. malwareforskarna kan använda detta för vidare analys.
