Problém
- Chcete si nakonfigurovať systém v súlade s osvedčenými postupmi ochrany pred ransomvérom
- Ochrana pred ransomvérom prostredníctvom produktov ESET
- Všeobecné zásady ochrany pred ransomvérom
- Obnova zašifrovaných súborov
Podrobnosti
Kliknutím rozbaľte
Ransomvér je typ malvéru, ktorý môžu útočníci využiť na uzamknutie zariadenia alebo zašifrovanie jeho obsahu. Cieľom je vymáhať od majiteľa daného zariadenia peniaze s prísľubom obnovenia prístupu k zablokovanému zariadeniu alebo dátam po zaplatení požadovanej sumy. Súčasťou tohto malvéru môže byť aj časovač so stanovenou lehotou splatnosti, ktorú má obeť dodržať, inak sa cena zvýši, prípadne sa zariadenie a jeho obsah natrvalo zablokuje.
Ransomvér je škodlivý softvér, ktorý šifruje osobné a dátové súbory. Po infikovaní zariadenia sa ransomvér následne pokúsi zašifrovať aj namapované zdieľané disky. Môže sa teda zdať, že sa infiltrácia šíri po sieti, i keď to tak nie je.
Hoci súbory môžu byť zašifrované, systém nemusí byť nutne infikovaný. K takejto situácii môže dôjsť vtedy, ak je zdieľaný disk na súborovom serveri zašifrovaný, no samotný server malvérom napadnutý nie je (pokiaľ nejde o terminálový server).
Medzi známe druhy ransomvéru patria:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) alebo Win32/Filecoder.Locky.A – infikujú počítač po otvorení e‑mailovej správy od neznámeho odosielateľa, prípadne súboru .zip v prílohe takejto správy
- „CryptoLocker“, „Cryptowall“, „Dirty decrypt“ a „CTB locker“
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Riešenie
Inštruktážne video (len v angličtine)
Aktuálne verzie bezpečnostných produktov ESET využívajú viacero vrstiev technológií, aby dokázali zariadenia chrániť pred ransomvérom.
Príkladom takýchto technológií je reputačný systém ESET LiveGrid® či funkcie Pokročilá kontrola pamäte a Exploit Blocker.
Najnovšie produkty ESET navyše obsahujú aj vylepšený modul Ochrana pred botnetmi, ktorý blokuje komunikáciu medzi ransomvérom a riadiacimi C&C servermi.
Ochrana pred ransomvérom prostredníctvom produktov ESET
Ponechajte zapnuté funkcie Exploit Blocker a Pokročilá kontrola pamäte
Tieto dve funkcie sú v produktoch ESET od verzie 5 predvolene zapnuté. Algoritmy vyvinuté spoločnosťou ESET poskytujú zvýšenú ochranu pred malvérom, ktorý bol navrhnutý tak, aby sa pomocou maskovania a šifrovania vyhýbal detekcii bezpečnostných produktov.
Pokročilá kontrola pamäte deteguje akékoľvek podozrivé správanie a procesy prebiehajúce po tom, ako v pamäti dôjde k odkrytiu malvéru. Technológia Exploit Blocker posilňuje ochranu pred cielenými útokmi a novovznikajúcimi zraniteľnosťami, tzv. zero‑day hrozbami.
Na zaistenie maximálnej ochrany odporúčame aktualizovať produkty ESET na najnovšiu verziu:
Domáci používatelia: Skontrolujte si, ktorý produkt ESET pre domácnosti máte nainštalovaný a či ide o najnovšiu verziu 
Firemní používatelia: Akú verziu produktu ESET pre firmy mám nainštalovanú a je to najnovšia verzia?
Majte zapnutý ESET LiveGrid
Cloudový systém ochrany pred malvérom vyvinutý spoločnosťou ESET je založený na technológii ESET LiveGrid. Monitoruje neznáme a potenciálne škodlivé aplikácie a posiela vzorky na analýzu do cloudového systému spoločnosti ESET.
Uistite sa, že systém reputácie a spätnej väzby ESET LiveGrid® je vo vašom produkte ESET zapnutý a aktívny.
Udržujte produkt ESET v aktuálnom stave
Nové varianty ransomvéru sa objavujú často, preto je veľmi dôležité, aby bolo detekčné jadro vo vašom produkte ESET pravidelne aktualizované. Pokiaľ máte platnú licenciu a aktívne internetové pripojenie, bezpečnostný produkt ESET bude kontrolovať dostupnosť aktualizácií každú hodinu.
Chráňte virtuálne počítače
Na zaistenie ochrany pred ransomvérom vo virtuálnych prostrediach odporúčame používať riešenie ESET Endpoint Security.
Uistite sa, že máte zapnutý Ransomware Shield
Ransomware Shield ako súčasť technológie Self-Defense je ďalšou vrstvou ochrany, ktorá pracuje v rámci systému HIPS. Viac informácií o funkcii Ransomware Shield nájdete v slovníku pojmov spoločnosti ESET a o jej konfigurácii v produktoch ESET sa dočítate na stránkach Online pomocníka.
Nakonfigurujte ďalšie nastavenia ochrany pred ransomvérom vo firemných produktoch ESET manuálne alebo pomocou politík v konzole ESET PROTECT/ESET PROTECT Cloud
Oznámenia
Všeobecné zásady ochrany pred ransomvérom – ako minimalizovať riziko útoku šifrovacieho malvéru
-
Pravidelne si vytvárajte zálohy systému, aby ste svoje najnovšie súbory a dáta chránili pred prípadným útokom, pričom aspoň jednu novú zálohu vždy uchovávajte v offline úložisku.
Používateľské povolenia a obmedzenia
Existuje mnoho druhov obmedzení, napríklad obmedzený prístup k dátam aplikácií, prípadne aj preddefinované nastavenia skupinovej politiky (GPO – Group Policy Object).
Zakážte spúšťanie súborov z adresárov AppData a LocalAppData.
Zablokujte spúšťanie z podadresára Temp (predvolene je súčasťou stromovej štruktúry adresára AppData).
Zablokujte spúšťanie spustiteľných súborov z pracovných adresárov rôznych komprimačných nástrojov (napríklad WinZip alebo 7‑Zip).
V produktoch ESET Endpoint Security/Antivirus, ESET Mail Security a ESET File Security môžete navyše vytvárať vlastné pravidlá systému HIPS, na základe ktorých bude vo vašom počítači umožnené spúšťanie len vybraných aplikácií, zatiaľ čo všetky ostatné aplikácie budú blokované: [KB8018] Vytvorenie pravidla HIPS a jeho vynútenie na klientskej pracovnej stanici prostredníctvom konzoly ESET PROTECT (8.x – 10.x).
Nevypínajte kontrolu používateľských kont (UAC)
Neotvárajte prílohy, ktoré sa prezentujú ako faktúra, fax či potvrdenka, no majú podozrivý názov, prípadne ste doručenie takýchto dokumentov vôbec neočakávali.
Čo mám robiť, ak chcem minimalizovať riziko malvérového útoku?
Používajte dvojúrovňové overovanie (2FA)
Odporúčame riešenie ESET Secure Authentication.
Ochrana pred hrozbami
Odporúčame službu ESET LiveGuard Advanced.
Vypnite makrá pre balík Microsoft Office prostredníctvom skupinovej politiky
Microsoft Office 2013/2016 (nasledujúci odkaz je pre verziu 2013, no nastavenia sú rovnaké aj pre verziu 2016): upravte nastavenia zabezpečenia makier VBA.
Udržiavajte svoj systém aktualizovaný
Najvyššiu možnú ochranu svojho počítača zabezpečíte tak, že budete operačný systém a nainštalované aplikácie udržiavať aktualizované. Je dôležité vždy nainštalovať najnovšie aktualizácie s vysokou prioritou ponúkané v nástroji Windows Update a pravidelne kontrolovať dostupnosť nových aktualizácií, prípadne zapnúť funkciu Automatické aktualizácie. Nové bezpečnostné aktualizácie slúžia na zaplátanie zraniteľností systému a znižujú tak riziko útoku škodlivého softvéru.
Spoločnosť Microsoft vydala bezpečnostné aktualizácie pre súčasné operačné systémy Windows, ako aj pre Windows XP, ktoré majú zaplátať kritickú zraniteľnosť systému. Pokyny na nasadenie týchto aktualizácií nájdete v bulletine Microsoft Security Bulletin MS17-010 – Critical.
Otvorené porty/služby, ktoré môžu byť potenciálne zneužité
Ak chcete zabrániť útokom hrubou silou z neznámych IP adries, dôrazne odporúčame obmedziť prístup k SMB, SQL a RDP.
SMB
Zatvorte porty 135 – 139 a 445 na zdieľanie súborov. Porty SMB by nemali byť prístupné z internetu.
SQL
Povoľte len dôveryhodné IP adresy, ktoré sa môžu pripájať k SQL.
RDP
Zabráňte útokom hrubou silou na protokol RDP smerom z internetu tak, že zakážete RDP pre externé pripojenia. Na pripojenie k internej sieti používajte VPN s dvojúrovňovým overovaním (2FA).
Nastavte automatické zablokovanie účtu po určitom počte neúspešných pokusov. Pridajte tiež čakaciu lehotu na automatické odomknutie po zablokovaní účtu.
Vynúťte používanie silných hesiel.
Zakážte nepoužívané bežné účty a predvolené účty, ako napríklad správca, admin alebo root.
Povoľte konkrétnych používateľov a skupiny používateľov, ktorí sa môžu prihlasovať cez RDP.
Povoľte konkrétne IP adresy, z ktorých je možné sa pripájať cez RDP.
Remote Desktop Protocol – ako sa chrániť pred útokmi
Šifrovací malvér sa často dostáva do cieľových počítačov využitím protokolu RDP (protokol vzdialenej pracovnej plochy). Tento protokol systému Windows umožňuje iným používateľom získať vzdialený prístup do vášho počítača. Útočník tak môže zneužiť RDP, aby deaktivoval ochranu a následne do počítača dostal malvér.
Odporúčame vám vypnúť RDP alebo zmeniť jeho nastavenia. Ak protokol RDP nepotrebujete využívať, môžete zmeniť predvolený port (3389) alebo RDP úplne vypnúť, aby ste predišli útoku ransomvéru a iným hrozbám, ktoré sa šíria prostredníctvom tohto protokolu. Návod na vypnutie RDP nájdete v nasledujúcich článkoch databázy znalostí spoločnosti Microsoft, ktoré sú rozdelené podľa verzie operačného systému Windows:
Ak sa chcete dozvedieť viac o šírení malvéru prostredníctvom protokolu RDP, môžete si prečítať nasledujúci článok na našom blogu WeLiveSecurity (len v anglickom jazyku): Remote Desktop (RDP) Hacking 101: I can see your desktop from here!
Chráňte nastavenia programu ESET heslom
Ak ste firemný používateľ, odporúčame nastaviť heslo na ochranu produktu ESET a jeho nastavení pred útočníkmi. Tým sa zabráni neoprávnenej zmene nastavení, vypnutiu ochrany alebo dokonca odinštalovaniu produktu ESET. Odporúčame vám nastaviť iné heslo ako to, ktoré používate na pripojenie k vzdialenej pracovnej ploche cez RDP.
Informácie o tom, ako chrániť produkt ESET heslom, nájdete v článku našej databázy znalostí.
Dajú sa zašifrované súbory obnoviť?
Moderné druhy ransomvéru šifrujú údaje pomocou asymetrických metód a viacerých typov šifier. Malvér súbory zašifruje verejným kľúčom a následné dešifrovanie bez príslušného súkromného kľúča nie je možné. V prípade súčasných druhov ransomvéru nie je súkromný kľúč nikdy uložený na napadnutej pracovnej stanici či virtuálnom zariadení. To znamená, že je potrebné obnoviť dáta zo zálohy, ktorá bola vytvorená ešte predtým, ako sa infiltrácia dostala do zariadenia.
Pokiaľ neboli vytvorené žiadne zálohy systému, môžete sa pokúsiť súbory obnoviť z tieňových kópií. Môžete použiť napríklad program Shadow Explorer, ktorý je k dispozícii na stiahnutie na nasledujúcej webovej stránke: http://www.shadowexplorer.com/downloads.html
Bohužiaľ, mnohé druhy ransomvéru zvyknú tieto tieňové kópie vymazať, aby tak znemožnili obnovu súborov.
Čo mám robiť, ak sa do môjho zariadenia dostal ransomvér?
Odpojte počítač od siete.
Nájdite súbor vo formáte TXT alebo HTML s názvom „How to decrypt“ alebo podobným, ktorý obsahuje podrobné inštrukcie, ako útočníkovi zaplatiť za dešifrovanie vašich súborov. Tento súbor môžu naši experti na malvér následne podrobiť analýze.
Na napadnutom počítači spustite nástroj ESET SysRescue. Obnovu systému zo zálohy vykonajte až po tom, ako bola hrozba na vašom počítači odhalená a odstránená (prečítajte si časť Vytvárajte si zálohy systému).
