Ransomware je typ malvéru, ktorý blokuje prístup používateľov k ich systému uzamknutím obrazovky alebo zašifrovaním obsahu počítača a za obnovenie prístupu k dátam požaduje výkupné. Na jeho zaplatenie má používateľ zväčša len určitý počet hodín. V prípade, že nezaplatí do stanoveného termínu, požadovaná suma sa navýši, prípadne používateľ natrvalo príde o prístup k zariadeniu a jeho obsahu.
Filecoder/Ransomware je škodlivý softvér, ktorý šifruje súbory na zariadení používateľa. Do zariadenia sa najskôr dostane infiltrácia a následne sa Filecoder/Ransomware pokúsi zašifrovať namapované zdieľané disky. Môže sa teda zdať, že sa infiltrácia šíri po sieti, aj napriek tomu, že to tak nie je.
Vaše súbory môžu byť zašifrované, no zariadenie nemusí byť nutne infikované. K takejto situácii môže dôjsť vtedy, keď je zašifrovaný zdieľaný disk na súborovom serveri, no samotný server nie je infikovaný škodlivým kódom (pokiaľ nejde o terminálový server).
Medzi ďalšie známe druhy filecoderov patria:
Súčasné vezie bezpečnostných produktov ESET používajú technológie novej generácie, ktoré dokážu zariadenia chrániť pred ransomware.
Príkladom takýchto technológií je služba ESET Live Grid či funkcie Pokročilá kontrola pamäte a Exploit Blocker.
Najnovšie produkty ESET navyše obsahujú aj vylepšený modul Ochrana pred botnetmi, ktorý deteguje a blokuje komunikáciu medzi ransomwarom a riadiacim C&C serverom (Command and Control server).
Inštruktážne video (len v anglickom jazyku)
Ochrana pred ransomware pomocou bezpečnostného riešenia ESET | Všeobecné zásady ochrany pred ransomware | Obnova zašifrovaných súborov
V produktoch ESET vo verzii 5 a novších sú tieto dve funkcie v predvolených nastaveniach povolené. Tieto algoritmy vyvinuté spoločnosťou ESET poskytujú zvýšenú ochranu proti malvéru, ktorý bol navrhnutý tak, aby sa pomocou ukrývania a šifrovania vyhol detekcii bezpečnostných produktov.
Rozšírená kontrola pamäte deteguje akékoľvek podozrivé správanie a procesy prebiehajúce po tom, ako v pamäti dôjde k odkrytiu malvéru. Technológia Exploit Blocker posilňuje ochranu pred cielenými útokmi a predtým neznámymi zraniteľnosťami a hrozbami, tzv. „zero-day“ hrozbami.
Pokiaľ používate produkt ESET Smart Security/ESET NOD32 Antivirus (vrátane firemných vydaní Business Edition) vo verzii 4.x alebo starších, odporúčame vám aktualizovať na najnovšiu verziu.
Produkty pre domácnosti: Akú verziu produktu ESET mám nainštalovanú a je to najnovšia verzia?
Firemné produkty: Mám najnovšiu verziu produktov spoločnosti ESET určených pre firmy?
Cloudový systém ochrany pred malvérom vyvinutý spoločnosťou ESET je založený na technológii ESET Live Grid. Monitoruje neznáme a potenciálne škodlivé aplikácie a hrozby a posiela ich vzorky na analýzu do cloudového systému spoločnosti ESET. Signatúry škodlivého softvéru následne aplikuje cez reputačný systém ESET LiveGrid, ktorý tak dokáže efektívne chrániť zariadenia aj bez čakania na nasledujúcu aktualizáciu vírusovej databázy.
Ubezpečte sa, že technológia ESET Live Grid je vo vašom ESET produkte povolená a aktívna.
Produkty pre domácnosti: Ako si môžem overiť, že aktualizácie produktov ESET Smart Security/ESET NOD32 Antivirus prebiehajú v poriadku?
Firemné produkty: Ako zistím, či aktualizácie môjho firemného produktu ESET prebiehajú v poriadku?
V produktoch ESET Endpoint Security/Antivirus, ESET Mail Security a ESET File Security môžete navyše vytvárať vlastné pravidlá systému HIPS, na základe ktorých bude vo vašom počítači umožnené spúšťanie len vybraných aplikácií, zatiaľ čo všetky ostatné aplikácie budú blokované. Ako vytvoriť pravidlo systému HIPS a vynútiť ho na klientskej pracovnej stanici? (6.x)
Neotvárajte prílohy, ktoré sa prezentujú ako faktúra, fax či potvrdenka, no majú podozrivý názov, prípadne ste doručenie takýchto dokumentov vôbec neočakávali.
Čo mám robiť, ak chcem minimalizovať riziko vírusového útoku?
Najvyššiu možnú ochranu svojho počítača zabezpečíte tak, že budete svoj operačný systém a nainštalované aplikácie udržiavať aktualizované. Je dôležité vždy nainštalovať najnovšie aktualizácie s vysokou prioritou ponúkané v nástroji Windows Update a pravidelne kontrolovať dostupnosť nových aktualizácií, prípadne zapnúť funkciu Automatické aktualizácie. Nové bezpečnostné aktualizácie slúžia na zaplátanie zraniteľností systému a znižujú tak riziko útoku škodlivého softvéru.
Spoločnosť Microsoft vydala bezpečnostné aktualizácie pre súčasné operačné systémy Windows, ako aj pre Windows XP, ktoré majú zaplátať kritickú zraniteľnosť systému. Podrobné informácie a pokyny na použitie týchto aktualizácií nájdete na webových stránkach spoločnosti Microsoft: Microsoft Security Bulletin MS17-010 a Popis aktualizácie MS17-010.
Šifrovací škodlivý softvér často pristupuje k cieľovým počítačom prostredníctvom protokolu RDP (Remote Desktop Protocol). Tento protokol systému Windows umožňuje iným používateľom získať vzdialený prístup do vášho počítača. Útočník tak môže zneužiť pripojenie vzdialenej pracovnej plochy (RDP), aby deaktivoval ochranu a následne do počítača dostal malvér.
a) Vypnite RDP alebo zmeňte jeho nastavenia
Ak protokol RDP nepotrebujete využívať, môžete zmeniť predvolený port (3398) alebo RDP úplne vypnúť, aby ste predišli útoku škodlivého softvéru Filecoder a iným hrozbám, ktoré sa šíria prostredníctvom tohto protokolu. Návod na konfiguráciu a vypnutie RDP nájdete v nasledujúcich článkoch Databázy znalostí spoločnosti Microsoft, ktoré sú roztriedené podľa typu operačného systému Windows:
Ak sa chcete dozvedieť viac o šírení malvéru prostredníctvom protokolu RDP, môžete si prečítať nasledujúci článok na našom blogu (len v anglickom jazyku): Remote Desktop (RDP) Hacking 101: I can see your desktop from here!
b) Chráňte nastavenia programu ESET heslom
Pokiaľ službu Vzdialená pracovná plocha potrebujete mať povolenú alebo nemôžete zmeniť jej nastavenia, môžete vytvoriť heslo pre váš produkt ESET, ktoré útočníkovi zabráni meniť nastavenia programu ESET, deaktivovať ochranu alebo program ESET odinštalovať. Odporúčame vám použiť iné heslo ako to, ktoré používate pre pripojenie k Vzdialenej pracovnej ploche.
Anti-Ransomware ochrana ako súčasť technológie Self-Defense je ďalšou vstvou ochrany, ktorá funguje ako súčasť modulu HIPS. Aby mohla ochrana pred ransomare správne fungovať, musí byť povolená technológia ESET LiveGrid. Anti-Ransomware ochranu nájdete v Rozšírených nastaveniach vášho programu ESET (otvoria sa po stlačení klávesu F5), v sekcii Antivírus → HIPS.
Najnovšie druhy škodlivého softvéru Filecoder/Ransomware šifrujú údaje použitím asymetrického šifrovania a viacerých druhov šifrovacích algoritmov. Malvér súbory zašifruje verejným kľúčom a následné dešifrovanie bez príslušného súkromného kľúča nie je možné. V prípade súčasných druhov ransomware nie je súkromný kľúč nikdy uložený na napadnutej pracovnej stanici či virtuálnom zariadení. To znamená, že je potrebné sa pokúsiť o obnovu dát zo zálohy, ktorá bola vytvorená ešte pred tým, ako sa infiltrácia dostala do zariadenia.
Pokiaľ neboli vytvorené žiadne zálohy systému, môžete sa pokúsiť súbory obnoviť z tieňových kópií. Môžete použiť napríklad program Shadow Explorer, ktorý je k dispozícii na stiahnutie na nasledujúcej internetovej stránke: http://www.shadowexplorer.com/downloads.html
Bohužiaľ, mnohé druhy ransomwaru zvyknú tieto tieňové kópie vymazať, aby tak znemožnili obnovu súborov.
Čo mám urobiť, ak sa do môjho počítača dostal ransomware?