[KB3433] Osvedčené postupy ochrany pred ransomvérom

Problém

Podrobnosti


Kliknutím rozbaľte


Ransomvér je typ malvéru, ktorý môžu útočníci využiť na uzamknutie zariadenia alebo zašifrovanie jeho obsahu. Cieľom je vymáhať od majiteľa daného zariadenia peniaze s prísľubom obnovenia prístupu k zablokovanému zariadeniu alebo dátam po zaplatení požadovanej sumy. Súčasťou tohto malvéru môže byť aj časovač so stanovenou lehotou splatnosti, ktorú má obeť dodržať, inak sa cena zvýši, prípadne sa zariadenie a jeho obsah natrvalo zablokuje.

Ransomvér je škodlivý softvér, ktorý šifruje osobné a dátové súbory. Po infikovaní zariadenia sa ransomvér následne pokúsi zašifrovať aj namapované zdieľané disky. Môže sa teda zdať, že sa infiltrácia šíri po sieti, i keď to tak nie je.

Hoci súbory môžu byť zašifrované, systém nemusí byť nutne infikovaný. K takejto situácii môže dôjsť vtedy, ak je zdieľaný disk na súborovom serveri zašifrovaný, no samotný server malvérom napadnutý nie je (pokiaľ nejde o terminálový server).

Medzi známe druhy ransomvéru patria:


Riešenie

Inštruktážne video (len v angličtine)

Aktuálne verzie bezpečnostných produktov ESET využívajú viacero vrstiev technológií, aby dokázali zariadenia chrániť pred ransomvérom.

Príkladom takýchto technológií je reputačný systém ESET LiveGrid® či funkcie Pokročilá kontrola pamäteExploit Blocker.

Najnovšie produkty ESET navyše obsahujú aj vylepšený modul Ochrana pred botnetmi, ktorý blokuje komunikáciu medzi ransomvérom a riadiacimi C&C servermi. 


Ochrana pred ransomvérom prostredníctvom produktov ESET


Všeobecné zásady ochrany pred ransomvérom – ako minimalizovať riziko útoku šifrovacieho malvéru

  • Vytvárajte si zálohy systému

    Pravidelne si vytvárajte zálohy systému, aby ste svoje najnovšie súbory a dáta chránili pred prípadným útokom, pričom aspoň jednu novú zálohu vždy uchovávajte v offline úložisku.

  • Používateľské povolenia a obmedzenia

    Existuje mnoho druhov obmedzení, napríklad obmedzený prístup k dátam aplikácií, prípadne aj preddefinované nastavenia skupinovej politiky (GPO – Group Policy Object).

    • Zakážte spúšťanie súborov z adresárov AppData a LocalAppData.

    • Zablokujte spúšťanie z podadresára Temp (predvolene je súčasťou stromovej štruktúry adresára AppData).

    • Zablokujte spúšťanie spustiteľných súborov z pracovných adresárov rôznych komprimačných nástrojov (napríklad WinZip alebo 7‑Zip).

      V produktoch ESET Endpoint Security/Antivirus, ESET Mail Security a ESET File Security môžete navyše vytvárať vlastné pravidlá systému HIPS, na základe ktorých bude vo vašom počítači umožnené spúšťanie len vybraných aplikácií, zatiaľ čo všetky ostatné aplikácie budú blokované: [KB8018] Vytvorenie pravidla HIPS a jeho vynútenie na klientskej pracovnej stanici prostredníctvom konzoly ESET PROTECT (8.x – 10.x).

  • Nevypínajte kontrolu používateľských kont (UAC)

    Neotvárajte prílohy, ktoré sa prezentujú ako faktúra, fax či potvrdenka, no majú podozrivý názov, prípadne ste doručenie takýchto dokumentov vôbec neočakávali.

    Čo mám robiť, ak chcem minimalizovať riziko malvérového útoku?

  • Používajte dvojúrovňové overovanie (2FA)

    Odporúčame riešenie ESET Secure Authentication.

  • Ochrana pred hrozbami

    Odporúčame službu ESET LiveGuard Advanced.

  • Vypnite makrá pre balík Microsoft Office prostredníctvom skupinovej politiky

    Microsoft Office 2013/2016 (nasledujúci odkaz je pre verziu 2013, no nastavenia sú rovnaké aj pre verziu 2016): upravte nastavenia zabezpečenia makier VBA.

  • Udržiavajte svoj systém aktualizovaný

    Najvyššiu možnú ochranu svojho počítača zabezpečíte tak, že budete operačný systém a nainštalované aplikácie udržiavať aktualizované. Je dôležité vždy nainštalovať najnovšie aktualizácie s vysokou prioritou ponúkané v nástroji Windows Update a pravidelne kontrolovať dostupnosť nových aktualizácií, prípadne zapnúť funkciu Automatické aktualizácie. Nové bezpečnostné aktualizácie slúžia na zaplátanie zraniteľností systému a znižujú tak riziko útoku škodlivého softvéru.

    Spoločnosť Microsoft vydala bezpečnostné aktualizácie pre súčasné operačné systémy Windows, ako aj pre Windows XP, ktoré majú zaplátať kritickú zraniteľnosť systému. Pokyny na nasadenie týchto aktualizácií nájdete v bulletine Microsoft Security Bulletin MS17-010 – Critical.

  • Otvorené porty/služby, ktoré môžu byť potenciálne zneužité

    Ak chcete zabrániť útokom hrubou silou z neznámych IP adries, dôrazne odporúčame obmedziť prístup k SMB, SQL a RDP.

    1. SMB

      Zatvorte porty 135 – 139 a 445 na zdieľanie súborov. Porty SMB by nemali byť prístupné z internetu.

    2. SQL

      Povoľte len dôveryhodné IP adresy, ktoré sa môžu pripájať k SQL.

    3. RDP

      • Zabráňte útokom hrubou silou na protokol RDP smerom z internetu tak, že zakážete RDP pre externé pripojenia. Na pripojenie k internej sieti používajte VPN s dvojúrovňovým overovaním (2FA).

      • Nastavte automatické zablokovanie účtu po určitom počte neúspešných pokusov. Pridajte tiež čakaciu lehotu na automatické odomknutie po zablokovaní účtu.

      • Vynúťte používanie silných hesiel.

      • Zakážte nepoužívané bežné účty a predvolené účty, ako napríklad správca, admin alebo root.

      • Povoľte konkrétnych používateľov a skupiny používateľov, ktorí sa môžu prihlasovať cez RDP.

      • Povoľte konkrétne IP adresy, z ktorých je možné sa pripájať cez RDP.

  • Remote Desktop Protocol – ako sa chrániť pred útokmi

    Šifrovací malvér sa často dostáva do cieľových počítačov využitím protokolu RDP (protokol vzdialenej pracovnej plochy). Tento protokol systému Windows umožňuje iným používateľom získať vzdialený prístup do vášho počítača. Útočník tak môže zneužiť RDP, aby deaktivoval ochranu a následne do počítača dostal malvér.

    Odporúčame vám vypnúť RDP alebo zmeniť jeho nastavenia. Ak protokol RDP nepotrebujete využívať, môžete zmeniť predvolený port (3389) alebo RDP úplne vypnúť, aby ste predišli útoku ransomvéru a iným hrozbám, ktoré sa šíria prostredníctvom tohto protokolu. Návod na vypnutie RDP nájdete v nasledujúcich článkoch databázy znalostí spoločnosti Microsoft, ktoré sú rozdelené podľa verzie operačného systému Windows:

    Ak sa chcete dozvedieť viac o šírení malvéru prostredníctvom protokolu RDP, môžete si prečítať nasledujúci článok na našom blogu WeLiveSecurity (len v anglickom jazyku): Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

  • Chráňte nastavenia programu ESET heslom

    Ak ste firemný používateľ, odporúčame nastaviť heslo na ochranu produktu ESET a jeho nastavení pred útočníkmi. Tým sa zabráni neoprávnenej zmene nastavení, vypnutiu ochrany alebo dokonca odinštalovaniu produktu ESET. Odporúčame vám nastaviť iné heslo ako to, ktoré používate na pripojenie k vzdialenej pracovnej ploche cez RDP.

    Informácie o tom, ako chrániť produkt ESET heslom, nájdete v článku našej databázy znalostí.


Dajú sa zašifrované súbory obnoviť?

Moderné druhy ransomvéru šifrujú údaje pomocou asymetrických metód a viacerých typov šifier. Malvér súbory zašifruje verejným kľúčom a následné dešifrovanie bez príslušného súkromného kľúča nie je možné. V prípade súčasných druhov ransomvéru nie je súkromný kľúč nikdy uložený na napadnutej pracovnej stanici či virtuálnom zariadení. To znamená, že je potrebné obnoviť dáta zo zálohy, ktorá bola vytvorená ešte predtým, ako sa infiltrácia dostala do zariadenia.

Pokiaľ neboli vytvorené žiadne zálohy systému, môžete sa pokúsiť súbory obnoviť z tieňových kópií. Môžete použiť napríklad program Shadow Explorer, ktorý je k dispozícii na stiahnutie na nasledujúcej webovej stránke: http://www.shadowexplorer.com/downloads.html

Bohužiaľ, mnohé druhy ransomvéru zvyknú tieto tieňové kópie vymazať, aby tak znemožnili obnovu súborov.

Čo mám robiť, ak sa do môjho zariadenia dostal ransomvér?
  1. Odpojte počítač od siete.

  2. Nájdite súbor vo formáte TXT alebo HTML s názvom „How to decrypt“ alebo podobným, ktorý obsahuje podrobné inštrukcie, ako útočníkovi zaplatiť za dešifrovanie vašich súborov. Tento súbor môžu naši experti na malvér následne podrobiť analýze.

  3. Na napadnutom počítači spustite nástroj ESET SysRescue. Obnovu systému zo zálohy vykonajte až po tom, ako bola hrozba na vašom počítači odhalená a odstránená (prečítajte si časť Vytvárajte si zálohy systému).

  4. Kontaktujte technickú podporu spoločnosti ESET.