• Chcete si nakonfigurovať systém v súlade s osvedčenými postupmi ochrany pred ransomvérom
• Ochrana pred ransomvérom prostredníctvom produktov ESET
• Všeobecné zásady ochrany pred ransomvérom
• Obnova zašifrovaných súborov

Aktuálne verzie bezpečnostných produktov ESET využívajú viacero vrstiev technológií, aby dokázali zariadenia chrániť pred ransomvérom.

Príkladom takýchto technológií je reputačný systém ESET LiveGrid® či funkcie Pokročilá kontrola pamäte a Exploit Blocker.

Najnovšie produkty ESET navyše obsahujú aj vylepšený modul Ochrana pred botnetmi, ktorý blokuje komunikáciu medzi ransomvérom a riadiacimi C&C servermi. 

Ochrana pred ransomvérom prostredníctvom produktov ESET

• Ponechajte zapnuté funkcie Exploit Blocker a Pokročilá kontrola pamäte

  Tieto dve funkcie sú v produktoch ESET od verzie 5 predvolene zapnuté. Algoritmy vyvinuté spoločnosťou ESET poskytujú zvýšenú ochranu pred malvérom, ktorý bol navrhnutý tak, aby sa pomocou maskovania a šifrovania vyhýbal detekcii bezpečnostných produktov.

  Pokročilá kontrola pamäte deteguje akékoľvek podozrivé správanie a procesy prebiehajúce po tom, ako v pamäti dôjde k odkrytiu malvéru. Technológia Exploit Blocker posilňuje ochranu pred cielenými útokmi a novovznikajúcimi zraniteľnosťami, tzv. zero‑day hrozbami.

  Na zaistenie maximálnej ochrany odporúčame aktualizovať produkty ESET na najnovšiu verziu:

  •  Domáci používatelia: Skontrolujte si, ktorý produkt ESET pre domácnosti máte nainštalovaný a či ide o najnovšiu verziu

  •  Firemní používatelia: Akú verziu produktu ESET pre firmy mám nainštalovanú a je to najnovšia verzia?

• Majte zapnutý ESET LiveGrid

  Cloudový systém ochrany pred malvérom vyvinutý spoločnosťou ESET je založený na technológii ESET LiveGrid. Monitoruje neznáme a potenciálne škodlivé aplikácie a posiela vzorky na analýzu do cloudového systému spoločnosti ESET.

  Uistite sa, že systém reputácie a spätnej väzby ESET LiveGrid® je vo vašom produkte ESET zapnutý a aktívny.

• Udržujte produkt ESET v aktuálnom stave

  Nové varianty ransomvéru sa objavujú často, preto je veľmi dôležité, aby bolo detekčné jadro vo vašom produkte ESET pravidelne aktualizované. Pokiaľ máte platnú licenciu a aktívne internetové pripojenie, bezpečnostný produkt ESET bude kontrolovať dostupnosť aktualizácií každú hodinu.

  •  Domáci používatelia: Aktualizácia produktov ESET pre Windows určených pre domácnosti – overenie dostupnosti najnovších aktualizácií

  •  Firemní používatelia: Aktualizácia produktov ESET na jednotlivých pracovných staniciach – overenie dostupnosti najnovších aktualizácií

• Chráňte virtuálne počítače

  Na zaistenie ochrany pred ransomvérom vo virtuálnych prostrediach odporúčame používať riešenie ESET Endpoint Security.

• Uistite sa, že máte zapnutý Ransomware Shield

  Ransomware Shield ako súčasť technológie Self-Defense je ďalšou vrstvou ochrany, ktorá pracuje v rámci systému HIPS. Viac informácií o funkcii Ransomware Shield nájdete v slovníku pojmov spoločnosti ESET a o jej konfigurácii v produktoch ESET sa dočítate na stránkach Online pomocníka.

• Nakonfigurujte ďalšie nastavenia ochrany pred ransomvérom vo firemných produktoch ESET manuálne alebo pomocou politík v konzole ESET PROTECT/ESET PROTECT Cloud

  • Konfigurácia pravidiel HIPS pre firemné produkty ESET

  • Konfigurácia pravidiel firewallu pre produkt ESET Endpoint Security

  • Konfigurácia produktu ESET Mail Security

• Oznámenia

  • Oznámenia o detegovaných hrozbách

  • Konfigurácia automatických oznámení o hrozbách vo webovej konzole ESET Security Management Center (7.x)

Všeobecné zásady ochrany pred ransomvérom – ako minimalizovať riziko útoku šifrovacieho malvéru

• Vytvárajte si zálohy systému

  Pravidelne si vytvárajte zálohy systému, aby ste svoje najnovšie súbory a dáta chránili pred prípadným útokom, pričom aspoň jednu novú zálohu vždy uchovávajte v offline úložisku.

• Používateľské povolenia a obmedzenia

  Existuje mnoho druhov obmedzení, napríklad obmedzený prístup k dátam aplikácií, prípadne aj preddefinované nastavenia skupinovej politiky (GPO – Group Policy Object).

  • Zakážte spúšťanie súborov z adresárov AppData a LocalAppData.

  • Zablokujte spúšťanie z podadresára Temp (predvolene je súčasťou stromovej štruktúry adresára AppData).

  • Zablokujte spúšťanie spustiteľných súborov z pracovných adresárov rôznych komprimačných nástrojov (napríklad WinZip alebo 7‑Zip).

    V produktoch ESET Endpoint Security/Antivirus, ESET Mail Security a ESET File Security môžete navyše vytvárať vlastné pravidlá systému HIPS, na základe ktorých bude vo vašom počítači umožnené spúšťanie len vybraných aplikácií, zatiaľ čo všetky ostatné aplikácie budú blokované: [KB8018] Vytvorenie pravidla HIPS a jeho vynútenie na klientskej pracovnej stanici prostredníctvom konzoly ESET PROTECT (8.x – 10.x).

• Nevypínajte kontrolu používateľských kont (UAC)

  Neotvárajte prílohy, ktoré sa prezentujú ako faktúra, fax či potvrdenka, no majú podozrivý názov, prípadne ste doručenie takýchto dokumentov vôbec neočakávali.

  Čo mám robiť, ak chcem minimalizovať riziko malvérového útoku?

• Používajte dvojúrovňové overovanie (2FA)

  Odporúčame riešenie ESET Secure Authentication.

• Ochrana pred hrozbami

  Odporúčame službu ESET LiveGuard Advanced.

• Vypnite makrá pre balík Microsoft Office prostredníctvom skupinovej politiky

  Microsoft Office 2013/2016 (nasledujúci odkaz je pre verziu 2013, no nastavenia sú rovnaké aj pre verziu 2016): upravte nastavenia zabezpečenia makier VBA.

• Udržiavajte svoj systém aktualizovaný

  Najvyššiu možnú ochranu svojho počítača zabezpečíte tak, že budete operačný systém a nainštalované aplikácie udržiavať aktualizované. Je dôležité vždy nainštalovať najnovšie aktualizácie s vysokou prioritou ponúkané v nástroji Windows Update a pravidelne kontrolovať dostupnosť nových aktualizácií, prípadne zapnúť funkciu Automatické aktualizácie. Nové bezpečnostné aktualizácie slúžia na zaplátanie zraniteľností systému a znižujú tak riziko útoku škodlivého softvéru.

  Spoločnosť Microsoft vydala bezpečnostné aktualizácie pre súčasné operačné systémy Windows, ako aj pre Windows XP, ktoré majú zaplátať kritickú zraniteľnosť systému. Pokyny na nasadenie týchto aktualizácií nájdete v bulletine Microsoft Security Bulletin MS17-010 – Critical.

• Otvorené porty/služby, ktoré môžu byť potenciálne zneužité

  Ak chcete zabrániť útokom hrubou silou z neznámych IP adries, dôrazne odporúčame obmedziť prístup k SMB, SQL a RDP.

  1. SMB

     Zatvorte porty 135 – 139 a 445 na zdieľanie súborov. Porty SMB by nemali byť prístupné z internetu.

  2. SQL

     Povoľte len dôveryhodné IP adresy, ktoré sa môžu pripájať k SQL.

  3. RDP

     • Zabráňte útokom hrubou silou na protokol RDP smerom z internetu tak, že zakážete RDP pre externé pripojenia. Na pripojenie k internej sieti používajte VPN s dvojúrovňovým overovaním (2FA).

     • Nastavte automatické zablokovanie účtu po určitom počte neúspešných pokusov. Pridajte tiež čakaciu lehotu na automatické odomknutie po zablokovaní účtu.

     • Vynúťte používanie silných hesiel.

     • Zakážte nepoužívané bežné účty a predvolené účty, ako napríklad správca, admin alebo root.

     • Povoľte konkrétnych používateľov a skupiny používateľov, ktorí sa môžu prihlasovať cez RDP.

     • Povoľte konkrétne IP adresy, z ktorých je možné sa pripájať cez RDP.

• Remote Desktop Protocol – ako sa chrániť pred útokmi

  Šifrovací malvér sa často dostáva do cieľových počítačov využitím protokolu RDP (protokol vzdialenej pracovnej plochy). Tento protokol systému Windows umožňuje iným používateľom získať vzdialený prístup do vášho počítača. Útočník tak môže zneužiť RDP, aby deaktivoval ochranu a následne do počítača dostal malvér.

  Odporúčame vám vypnúť RDP alebo zmeniť jeho nastavenia. Ak protokol RDP nepotrebujete využívať, môžete zmeniť predvolený port (3389) alebo RDP úplne vypnúť, aby ste predišli útoku ransomvéru a iným hrozbám, ktoré sa šíria prostredníctvom tohto protokolu. Návod na vypnutie RDP nájdete v nasledujúcich článkoch databázy znalostí spoločnosti Microsoft, ktoré sú rozdelené podľa verzie operačného systému Windows:

  • Windows 7
  • Windows 8
  • Windows 10 a 11

  Ak sa chcete dozvedieť viac o šírení malvéru prostredníctvom protokolu RDP, môžete si prečítať nasledujúci článok na našom blogu WeLiveSecurity (len v anglickom jazyku): Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

• Chráňte nastavenia programu ESET heslom

  Ak ste firemný používateľ, odporúčame nastaviť heslo na ochranu produktu ESET a jeho nastavení pred útočníkmi. Tým sa zabráni neoprávnenej zmene nastavení, vypnutiu ochrany alebo dokonca odinštalovaniu produktu ESET. Odporúčame vám nastaviť iné heslo ako to, ktoré používate na pripojenie k vzdialenej pracovnej ploche cez RDP.

  Informácie o tom, ako chrániť produkt ESET heslom, nájdete v článku našej databázy znalostí.

Dajú sa zašifrované súbory obnoviť?

Moderné druhy ransomvéru šifrujú údaje pomocou asymetrických metód a viacerých typov šifier. Malvér súbory zašifruje verejným kľúčom a následné dešifrovanie bez príslušného súkromného kľúča nie je možné. V prípade súčasných druhov ransomvéru nie je súkromný kľúč nikdy uložený na napadnutej pracovnej stanici či virtuálnom zariadení. To znamená, že je potrebné obnoviť dáta zo zálohy, ktorá bola vytvorená ešte predtým, ako sa infiltrácia dostala do zariadenia.

Pokiaľ neboli vytvorené žiadne zálohy systému, môžete sa pokúsiť súbory obnoviť z tieňových kópií. Môžete použiť napríklad program Shadow Explorer, ktorý je k dispozícii na stiahnutie na nasledujúcej webovej stránke: http://www.shadowexplorer.com/downloads.html

Bohužiaľ, mnohé druhy ransomvéru zvyknú tieto tieňové kópie vymazať, aby tak znemožnili obnovu súborov.

Čo mám robiť, ak sa do môjho zariadenia dostal ransomvér?

1. Odpojte počítač od siete.

2. Nájdite súbor vo formáte TXT alebo HTML s názvom „How to decrypt“ alebo podobným, ktorý obsahuje podrobné inštrukcie, ako útočníkovi zaplatiť za dešifrovanie vašich súborov. Tento súbor môžu naši experti na malvér následne podrobiť analýze.

3. Na napadnutom počítači spustite nástroj ESET SysRescue. Obnovu systému zo zálohy vykonajte až po tom, ako bola hrozba na vašom počítači odhalená a odstránená (prečítajte si časť Vytvárajte si zálohy systému).

4. Kontaktujte technickú podporu spoločnosti ESET.