Problemställning
- Du vill använda de bästa metoderna för att konfigurera ditt system för att skydda mot skadlig programvara i form av ransomware
- Allmänna ESET-produkters bästa praxis för anti-ransomware
- Allmän praxis för skydd mot utpressningsprogram
- Återställa krypterade filer
Mer information
Klicka för att expandera
Ransomware är skadlig kod som kan låsa en enhet eller kryptera dess innehåll för att utpressa pengar från ägaren i utbyte mot att återställa åtkomsten till dessa resurser. Den här typen av skadlig kod kan också ha en inbyggd timer med en betalningsfrist som måste uppfyllas; annars kommer priset för att låsa upp data och hårdvara att växa - eller så kommer informationen och enheten i slutändan att göras permanent otillgänglig.
Ransomware är infektioner som krypterar person- och datafiler. Vanligtvis infekteras en arbetsstation och sedan försöker utpressningsprogrammet kryptera alla mappade delade enheter. Detta kan få denna infektion att verka som om den sprider sig genom ditt nätverk när den inte gör det.
Även om dina filer kan vara krypterade är det inte säkert att ditt system är infekterat. Detta är möjligt när en delad enhet på en filserver är krypterad, men servern i sig inte innehåller infektionen med skadlig kod (såvida det inte är en terminalserver).
Andra exempel på kända ransomware är:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) eller Win32/Filecoder.Locky.A infektion efter att ha öppnat ett e-postmeddelande från en okänd källa eller ZIP-filer från ett sådant e-postmeddelande
- "CryptoLocker", "Cryptowall", "Dirty decrypt" och "CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Lösning
De aktuella versionerna av ESET-produkter använder flera lager av teknik för att skydda datorer från ransomware.
Exempel på dessa tekniker är Advanced Memory Scanner, ESET LiveGrid® Reputation System och Exploit Blocker.
Dessutom har de senaste ESET-produkterna en förbättrad Botnet Protection-modul som blockerar kommunikationen mellan ransomware och Command and Control (C&C)-servrar.
Allmänna ESET-produkters bästa praxis för anti-ransomware
-
Håll Advanced Memory Scanner och Exploit Blocker aktiverade
Dessa två funktioner är aktiverade som standard i ESET-produkter version 5 och senare. Dessa nyutvecklade ESET-algoritmer stärker skyddet mot skadlig kod som har utformats för att undvika upptäckt av anti-malware-produkter genom att använda fördunkling och/eller kryptering.
Advanced Memory Scanner letar efter misstänkta beteenden efter att skadlig kod avkodats i minnet, och Exploit Blocker stärker skyddet mot riktade attacker och tidigare osedda sårbarheter, även kända som nolldagssårbarheter.
För maximalt skydd rekommenderar vi att du uppgraderar dina ESET-produkter till den senaste versionen:
-
hemanvändare: Vilken ESET-produkt har jag och är det den senaste versionen? (Hemanvändare) -
företagsanvändare: Har jag den senaste versionen av ESET:s företagsprodukter?
-
-
Håll ESET LiveGrid aktiverat
ESET Cloud Malware Protection System är baserat på ESET LiveGrid. Det övervakar okända och potentiellt skadliga program och utsätter prover för automatisk sandboxning och beteendeanalys.
Se till att ESET LiveGrid® rykte och ESET LiveGrid® feedback-system är aktiverat och fungerar i din ESET-produkt.
-
Håll ESET uppdaterat
Nya varianter av befintlig ransomware släpps ofta, så det är viktigt att du får regelbundna uppdateringar av virusdatabasen (din ESET-produkt söker efter uppdateringar varje timme förutsatt att du har en giltig licens och en fungerande internetanslutning).
-
Användare av virtuella maskiner
För bästa möjliga skydd mot skadlig ransomware rekommenderar vi att du använder ESET Endpoint Security i virtuella miljöer.
-
Se till att du har aktiverat Ransomware Shield
Ransomware Shield som en del av en Self-Defense-teknik är ett annat skyddslager som fungerar som en del av HIPS-funktionen. Mer information finns i Ransomware Shield i ESET-ordlistan och hur du konfigurerar det i ESET-produkter.
-
Konfigurera ytterligare inställningar för att skydda mot ransomware i ESET Business-produkter manuellt eller med hjälp av ESET PROTECT On-Prem/ESET PROTECT Policy
-
Meddelanden
Allmänna bästa praxis för anti-ransomware - Minimera risken för krypteringsbaserad skadlig kod (ransomware)
-
Gör säkerhetskopior av ditt system
Planera för att ta säkerhetskopior av ditt system regelbundet och förvara minst en sådan säkerhetskopia i offline-lagring för att skydda ditt senaste arbete från en attack.
-
Användarbehörigheter och begränsning av rättigheter
Det finns många typer av begränsningar, t.ex. begränsning av åtkomst till programdata och till och med vissa som är förbyggda som ett grupprincipobjekt (GPO).
-
Inaktivera filer som körs från mapparna AppData och LocalAppData.
-
Blockera körning från Temp-underkatalogen (en del av AppData-trädet som standard).
-
Blockera körbara filer som körs från arbetskatalogerna för olika dekomprimeringsverktyg (t.ex. WinZip eller 7-Zip).
I ESET Endpoint Security/Antivirus, ESET Mail Security och ESET File Security kan du dessutom skapa HIPS-regler för att endast tillåta vissa program att köras på datorn och blockera alla andra som standard: Skapa en HIPS-regel och verkställ den på en klientarbetsstation med ESET PROTECT On-Prem.
-
-
Inaktivera inte UAC (User Account Control)
Öppna inte bilagor som utger sig för att vara ett fax, en faktura eller ett kvitto om de har ett misstänkt namn eller om du inte förväntade dig att få dem.
Vad kan jag göra för att minimera risken för en attack med skadlig kod?
-
Använd tvåfaktorsautentisering (2FA)
Vi rekommenderar ESET Secure Authentication.
-
Försvar mot hot
Vi rekommenderar ESET LiveGuard Advanced.
-
Inaktivera makron i Microsoft Office via grupprincip
Office 2013/2016 (följande länk är för 2013 men det är samma inställningar för 2016): Planera säkerhetsinställningar för VBA-makron för Office
-
Håll ditt system uppdaterat
För att säkerställa att du har det bästa tillgängliga skyddet bör du hålla operativsystemet och programmen uppdaterade. Installera de senaste högprioriterade uppdateringarna som erbjuds i Windows Update-verktyget och kontrollera regelbundet eller aktivera funktionen Automatiska uppdateringar. Nya säkerhetsuppdateringar täpper till sårbarheter i systemet och minskar risken för attacker från skadlig kod.
-
Potentiella portar/tjänster som kan utnyttjas om de lämnas öppna
För att förhindra att en okänd IP-adress utför framgångsrika Brute Force-attacker rekommenderar vi starkt att du låser SMB, SQL och RDP.
-
SMB
Stäng fildelningsportarna 135-139 och 445. SMB-portar ska inte vara exponerade mot internet.
-
SQL
Vitlista över betrodda IP-adresser som tillåts ansluta till SQL
-
RDP
-
Stoppa externa RDP Brute Force-attacker genom att stänga RDP för externa anslutningar. Använd ett VPN med tvåfaktorsautentisering för att ansluta till det interna nätverket.
-
Ställ in automatisk låsning av konton efter ett visst antal misslyckade försök. Inkludera en väntetid för automatisk upplåsning efter att ett konto har låsts.
-
Genomdriv starka lösenord
-
Inaktivera vanliga oanvända konton och standardkonton, t.ex. administratör, admin eller root
-
Vitlista specifika användare och grupper för att tillåta inloggning med RDP
-
Vitlista specifika IP-adresser för att tillåta en RDP-anslutning
-
-
-
Bästa praxis för protokoll för fjärrskrivbord mot attacker
Krypteringsbaserad skadlig kod får ofta åtkomst till måldatorer med hjälp av RDP-verktyget (Remote Desktop Protocol) som är integrerat i Windows. RDP gör det möjligt för andra att fjärransluta till ditt system, så angriparen kan missbruka RDP för att ta bort skyddet och sedan distribuera skadlig kod.
Vi rekommenderar att du inaktiverar eller ändrar Remote Desktop Protocol. Om du inte behöver använda RDP kan du ändra standardporten (3389) eller inaktivera RDP för att skydda din maskin från ransomware och andra RDP-exploits. För instruktioner om hur du inaktiverar RDP, besök lämplig Microsoft Knowledge Base-artikel nedan:
För mer information om RDP, se följande WeLiveSecurity-artikel: Fjärrskrivbord (RDP) Hacking 101: Jag kan se ditt skrivbord härifrån!
-
Lösenordsskydda dina inställningar för ESET-produkter
Om du är en företagsanvändare rekommenderar vi att du använder ett lösenord för att skydda ESET-produkten från att ändras av en angripare. Detta förhindrar oautentiserade ändringar av inställningar, inaktivering av skyddet eller till och med avinstallation av ESET-produkten. Om du använder RDP rekommenderar vi att du använder ett annat lösenord än det som används för RDP-inloggningsuppgifterna.
För mer information, se hur du skyddar din ESET-produkt med ett lösenord.
Kan krypterade filer återställas?
Modern ransomware krypterar data med hjälp av asymmetriska metoder och flera typer av krypteringschiffer. Kort sagt krypteras filer med en publik nyckel och kan inte dekrypteras utan den tillhörande privata nyckeln. Med nuvarande ransomware finns den privata nyckeln aldrig på den drabbade arbetsstationen eller miljön. Detta innebär att data måste återställas från en bra säkerhetskopia som gjordes före infektionen.
Om inga säkerhetskopior finns tillgängliga kan du försöka återställa filer från skuggkopior. Du kan använda Shadow Explorer, som du kan ladda ner från följande webbsida: http://www.shadowexplorer.com/downloads.html
Det är dock inte ovanligt att ransomware-infektioner tar bort Shadow Copies för att förhindra återställning av filer.
Vilka åtgärder bör du vidta om du är infekterad med ransomware?
-
Koppla bort datorn från nätverket.
-
Leta reda på TXT- eller HTML-filen med betalningsinstruktionerna, till exempel "Hur man dekrypterar" delade mappar/enheter som krypterats. Detta kan användas av våra malwareforskare för vidare analys.
