[KB3433] Ako svoj počítač ochránim pred škodlivým softvérom Filecoder (ransomware)?

Problém

  • V tomto článku sa dozviete, ako čo najlepšie ochrániť váš počítač pred ransomware

Podrobnosti

Ransomware je typ malvéru, ktorý blokuje prístup používateľov k ich systému uzamknutím obrazovky alebo zašifrovaním obsahu počítača a za obnovenie prístupu k dátam požaduje výkupné. Na jeho zaplatenie má používateľ zväčša len určitý počet hodín. V prípade, že nezaplatí do stanoveného termínu, požadovaná suma sa navýši, prípadne používateľ natrvalo príde o prístup k zariadeniu a jeho obsahu.

Filecoder/Ransomware je škodlivý softvér, ktorý šifruje súbory na zariadení používateľa. Do zariadenia sa najskôr dostane infiltrácia a následne sa Filecoder/Ransomware pokúsi zašifrovať namapované zdieľané disky. Môže sa teda zdať, že sa infiltrácia šíri po sieti, aj napriek tomu, že to tak nie je.

Vaše súbory môžu byť zašifrované, no zariadenie nemusí byť nutne infikované. K takejto situácii môže dôjsť vtedy, keď je zašifrovaný zdieľaný disk na súborovom serveri, no samotný server nie je infikovaný škodlivým kódom (pokiaľ nejde o terminálový server).

Medzi ďalšie známe druhy filecoderov patria:

 

Riešenie

Súčasné vezie bezpečnostných produktov ESET používajú technológie novej generácie, ktoré dokážu zariadenia chrániť pred ransomware.

Príkladom takýchto technológií je služba ESET Live Grid či funkcie Pokročilá kontrola pamäte a Exploit Blocker.

Najnovšie produkty ESET navyše obsahujú aj vylepšený modul Ochrana pred botnetmi, ktorý deteguje a blokuje komunikáciu medzi ransomwarom a riadiacim C&C serverom (Command and Control server).
 

Inštruktážne video (len v anglickom jazyku)

Ochrana pred ransomware pomocou bezpečnostného riešenia ESET | Všeobecné zásady ochrany pred ransomwareObnova zašifrovaných súborov
 

Ako zabezpečiť maximálnu ochranu pred ransomware pomocou bezpečnostného riešenia ESET

  • Ponechajte zapnuté funkcie Exploit Blocker a Rozšírená kontrola pamäte

V produktoch ESET vo verzii 5 a novších sú tieto dve funkcie v predvolených nastaveniach povolené. Tieto algoritmy vyvinuté spoločnosťou ESET poskytujú zvýšenú ochranu proti malvéru, ktorý bol navrhnutý tak, aby sa pomocou ukrývania a šifrovania vyhol detekcii bezpečnostných produktov.

Rozšírená kontrola pamäte deteguje akékoľvek podozrivé správanie a procesy prebiehajúce po tom, ako v pamäti dôjde k odkrytiu malvéru. Technológia Exploit Blocker posilňuje ochranu pred cielenými útokmi a predtým neznámymi zraniteľnosťami a hrozbami, tzv. „zero-day“ hrozbami.

Pokiaľ používate produkt ESET Smart Security/ESET NOD32 Antivirus (vrátane firemných vydaní Business Edition) vo verzii 4.x alebo starších, odporúčame vám aktualizovať na najnovšiu verziu.

 Produkty pre domácnosti: Akú verziu produktu ESET mám nainštalovanú a je to najnovšia verzia?

 Firemné produkty: Mám najnovšiu verziu produktov spoločnosti ESET určených pre firmy?
 

  • Povoľte technológiu ESET Live Grid

Cloudový systém ochrany pred malvérom vyvinutý spoločnosťou ESET je založený na technológii ESET Live Grid. Monitoruje neznáme a potenciálne škodlivé aplikácie a hrozby a posiela ich vzorky na analýzu do cloudového systému spoločnosti ESET. Signatúry škodlivého softvéru následne aplikuje cez reputačný systém ESET LiveGrid, ktorý tak dokáže efektívne chrániť zariadenia aj bez čakania na nasledujúcu aktualizáciu vírusovej databázy.

Ubezpečte sa, že technológia ESET Live Grid je vo vašom ESET produkte povolená a aktívna.
 

  • Uistite sa, že v rámci Rezidentnej ochrany je povolená kontrola sieťových diskov

    V prípade, že je kontrola sieťových diskov povolená, rezidentná kontrola bude môcť na napadnutej pracovnej stanici spustiť detekciu, aby sa predišlo zašifrovaniu disku. Viac informácií nájdete v kapitole o Rezidentnej ochrane.
     
  • Zabezpečte, aby váš produkt ESET bol vždy aktuálny

    Nové verzie škodlivého softvéru Filecoder vychádzajú pomerne často, a preto je veľmi dôležité, aby bola vírusová databáza vo vašom produkte ESET pravidelne aktualizovaná. Pokiaľ máte platnú licenciu a aktívne internetové pripojenie, bezpečnostný produkt ESET bude kontrolovať dostupnosť aktualizácií každú hodinu.

     Produkty pre domácnosti: Ako si môžem overiť, že aktualizácie produktov ESET Smart Security/ESET NOD32 Antivirus prebiehajú v poriadku?

     Firemné produkty: Ako zistím, či aktualizácie môjho firemného produktu ESET prebiehajú v poriadku?
     

  • Chráňte vaše virtuálne zariadenia technológiou ESET

    Na ochranu virtuálnych zariadení pred škodlivým softvérom Filecoder odporúčame používať produkt ESET Endpoint Security. Vo vašom virtuálnom prostredí môžete spolu s produktmi ESET Endpoint Security použiť aj ESET Shared Local Cache, ktorý predchádza nadmernému zaťaženiu siete vznikajúcemu pri sťahovaní aktualizačných súborov viacerými virtuálnymi zariadeniami.
     

Všeobecné zásady ochrany pred ransomware – Ako minimalizovať riziko útoku šifrovacieho malvéru

  • Vytvárajte si zálohy vášho systému

    Pravidelne si vytvárajte zálohy systému, aby ste svoje najnovšie súbory a dáta chránili pred prípadným útokom. Odporúčame vám na zálohovanie systému použiť službu Backblaze.
     
  • Používateľské povolenia a obmedzenia

    Existuje mnoho druhov obmedzení, napríklad obmedzený prístup k dátam aplikácií, prípadne aj preddefinované nastavenia skupinovej politiky (Group Policy Object).
    1. Zakážte súbory spúšťané z adresárov AppData a LocalAppData.
       
    2. Blokujte spúšťanie z podadresára Temp (štandardne spadá do stromovej štruktúry adresára AppData).
       
    3. Blokujte spustiteľné súbory spúšťané z pracovných adresárov rôznych programov na dekompresiu dát (napr. Winzip alebo 7Zip).

V produktoch ESET Endpoint Security/Antivirus, ESET Mail Security a ESET File Security môžete navyše vytvárať vlastné pravidlá systému HIPS, na základe ktorých bude vo vašom počítači umožnené spúšťanie len vybraných aplikácií, zatiaľ čo všetky ostatné aplikácie budú blokované. Ako vytvoriť pravidlo systému HIPS a vynútiť ho na klientskej pracovnej stanici? (6.x)
 

  • Nevypínajte Kontrolu používateľských kont (User Account Control)

Neotvárajte prílohy, ktoré sa prezentujú ako faktúra, fax či potvrdenka, no majú podozrivý názov, prípadne ste doručenie takýchto dokumentov vôbec neočakávali.

Čo mám robiť, ak chcem minimalizovať riziko vírusového útoku?
 

  • Používajte dvojfaktorovú autentifikáciu (2FA)

    Odporúčame program ESET Secure Authentication.
     
  • Vypnite makrá pre balík Microsoft Office prostredníctvom skupinovej politiky (Group Policy) 

    Microsoft Office 2013/2016 (nasledujúci odkaz je pre verziu 2013, no nastavenia sú rovnaké aj pre verziu 2016): Upravte nastavenia zabezpečenia makier VBA
     
  • Udržiavajte svoj systém aktualizovaný

Najvyššiu možnú ochranu svojho počítača zabezpečíte tak, že budete svoj operačný systém a nainštalované aplikácie udržiavať aktualizované. Je dôležité vždy nainštalovať najnovšie aktualizácie s vysokou prioritou ponúkané v nástroji Windows Update a pravidelne kontrolovať dostupnosť nových aktualizácií, prípadne zapnúť funkciu Automatické aktualizácie. Nové bezpečnostné aktualizácie slúžia na zaplátanie zraniteľností systému a znižujú tak riziko útoku škodlivého softvéru.

Spoločnosť Microsoft vydala bezpečnostné aktualizácie pre súčasné operačné systémy Windows, ako aj pre Windows XP, ktoré majú zaplátať kritickú zraniteľnosť systému. Podrobné informácie a pokyny na použitie týchto aktualizácií nájdete na webových stránkach spoločnosti Microsoft: Microsoft Security Bulletin MS17-010 a Popis aktualizácie MS17-010.
 

Šifrovací škodlivý softvér často pristupuje k cieľovým počítačom prostredníctvom protokolu RDP (Remote Desktop Protocol). Tento protokol systému Windows umožňuje iným používateľom získať vzdialený prístup do vášho počítača. Útočník tak môže zneužiť pripojenie vzdialenej pracovnej plochy (RDP), aby deaktivoval ochranu a následne do počítača dostal malvér.

a)   Vypnite RDP alebo zmeňte jeho nastavenia

Ak protokol RDP nepotrebujete využívať, môžete zmeniť predvolený port (3398) alebo RDP úplne vypnúť, aby ste predišli útoku škodlivého softvéru Filecoder a iným hrozbám, ktoré sa šíria prostredníctvom tohto protokolu. Návod na konfiguráciu a vypnutie RDP nájdete v nasledujúcich článkoch Databázy znalostí spoločnosti Microsoft, ktoré sú roztriedené podľa typu operačného systému Windows:

Ak sa chcete dozvedieť viac o šírení malvéru prostredníctvom protokolu RDP, môžete si prečítať nasledujúci článok na našom blogu (len v anglickom jazyku): Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

b)   Chráňte nastavenia programu ESET heslom

Pokiaľ službu Vzdialená pracovná plocha potrebujete mať povolenú alebo nemôžete zmeniť jej nastavenia, môžete vytvoriť heslo pre váš produkt ESET, ktoré útočníkovi zabráni meniť nastavenia programu ESET, deaktivovať ochranu alebo program ESET odinštalovať. Odporúčame vám použiť iné heslo ako to, ktoré používate pre pripojenie k Vzdialenej pracovnej ploche.

  • Uistite sa, že ochrana pred ransomware je povolená (len produkty ESET pre Windows vo verzii 10)

Anti-Ransomware ochrana ako súčasť technológie Self-Defense je ďalšou vstvou ochrany, ktorá funguje ako súčasť modulu HIPS. Aby mohla ochrana pred ransomare správne fungovať, musí byť povolená technológia ESET LiveGrid. Anti-Ransomware ochranu nájdete v Rozšírených nastaveniach vášho programu ESET (otvoria sa po stlačení klávesu F5), v sekcii Antivírus → HIPS.

 

Je možné obnoviť zašifrované súbory?

Najnovšie druhy škodlivého softvéru Filecoder/Ransomware šifrujú údaje použitím asymetrického šifrovania a viacerých druhov šifrovacích algoritmov. Malvér súbory zašifruje verejným kľúčom a následné dešifrovanie bez príslušného súkromného kľúča nie je možné. V prípade súčasných druhov ransomware nie je súkromný kľúč nikdy uložený na napadnutej pracovnej stanici či virtuálnom zariadení. To znamená, že je potrebné sa pokúsiť o obnovu dát zo zálohy, ktorá bola vytvorená ešte pred tým, ako sa infiltrácia dostala do zariadenia.

Pokiaľ neboli vytvorené žiadne zálohy systému, môžete sa pokúsiť súbory obnoviť z tieňových kópií. Môžete použiť napríklad program Shadow Explorer, ktorý je k dispozícii na stiahnutie na nasledujúcej internetovej stránke: http://www.shadowexplorer.com/downloads.html

Bohužiaľ, mnohé druhy ransomwaru zvyknú tieto tieňové kópie vymazať, aby tak znemožnili obnovu súborov.
 

Čo mám urobiť, ak sa do môjho počítača dostal ransomware?

  1. Odpojte počítač od siete.
     
  2. Nájdite súbor vo formáte TXT alebo HTML s názvom „How to decrypt“ alebo podobným, ktorý obsahuje podrobné inštrukcie, ako útočníkovi zaplatiť za dešifrovanie vašich súborov. Tento súbor môžu naši experti na malvér následne podrobiť analýze.
     
  3. Na napadnutom počítači spustite nástroj ESET SysRescue. Obnovu systému zo zálohy vykonajte až po tom, ako bola hrozba na vašom počítači odhalená a odstránená (prečítajte si časť Vytvárajte si zálohy vášho systému).
     
  4. Kontaktujte technickú podporu spoločnosti ESET.

Kontaktujte nás

02/322 44 444 (pracovné dni 8:00-18:30)