Jak chronić komputer przed oprogramowaniem ransomware
1 września 2023
W tym artykule dowiesz się w jaki wzmocnić bezpieczeństwo komputera, aby chronić go przed oprogramowaniem ransomware.
Czym jest oprogramowanie Ransomware
Ransomware to złośliwe oprogramowanie zaprojektowane w celu blokowania dostępu do komputera do czasu wypłacenia atakującemu określonej sumy pieniędzy. Do najważniejszych przykładów ransomware należą CryptoLocker, CryptoWall, WannaCry i Petya.
Zazwyczaj w przypadku ataku Ransomware pliki lokalne są szyfrowane przy użyciu losowo wygenerowanej pary kluczy powiązanej z zainfekowanym komputerem. Podczas, gdy klucz publiczny jest kopiowany na zainfekowany komputer, klucz prywatny można uzyskać jedynie płacąc za niego w wyznaczonym czasie. Jeśli opłata nie zostanie uiszczona, istnieje ryzyko usunięcia klucza prywatnego, co uniemożliwia odszyfrowanie i odzyskanie zablokowanych plików.
Jeden z najczęstszych wektorów ataków, typu „drive-by”, opiera się na kliknięciach w zainfekowane reklamy na legalnych stronach internetowych, ale zdarzają się też infekcje poprzez pobieranie złośliwych aplikacji.
Jak ograniczyć ataki Ransomware
Ataki typu Ransomware można ograniczyć, a czasem im zapobiec, stosując kilka najlepszych praktyk:
1. Korzystaj z rozwiązania antywirusowego, które jest stale aktualizowane i umożliwia aktywne skanowanie.
2. Zaplanuj tworzenie kopii zapasowych plików (lokalnie lub w chmurze), aby móc odzyskać dane w przypadku ich zaszyfrowania.
3. Postępuj zgodnie z zasadami bezpiecznego korzystania z Internetu, nie odwiedzaj podejrzanych stron, nie klikaj linków ani nie otwieraj załączników w wiadomościach e-mail pochodzących z niepewnych źródeł oraz nie udostępniaj informacji umożliwiających identyfikację na publicznych czatach i forach.
4. Wdróż/włącz funkcje blokowania reklam i filtry antyspamowe.
5. Zwirtualizuj lub całkowicie wyłącz Flasha, ponieważ był on wielokrotnie używany jako wektor ataku.
6. Przeszkól pracowników w zakresie rozpoznawania prób socjotechniki i wiadomości e-mail typu spear-phishing.
7. Włącz zasady ograniczeń oprogramowania. Administratorzy systemu muszą wymusić umieszczenie obiektów zasad grupy w rejestrze, aby blokować pliki wykonywalne z określonych lokalizacji. Można to osiągnąć tylko w przypadku korzystania z wersji Windows Professional lub Windows Server. Opcję Zasady ograniczeń oprogramowania można znaleźć w edytorze Zasady zabezpieczeń lokalnych. Po kliknięciu przycisku Nowe zasady ograniczeń oprogramowania w obszarze Reguły dodatkowe należy zastosować następujące reguły ścieżki z Niedozwolonym poziomem zabezpieczeń:
- "%username%\\Appdata\\Roaming\\*.exe"
- "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
- C:\\\*.exe
- "%temp%\\*.exe"
- "%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
- "%userprofile%\\*.exe”
- "%username%\\Appdata\\*.exe”
- "%username%\\Appdata\\Local\\*.exe”
- "%username%\\Application Data\\*.exe”
- "%username%\\Application Data\\Microsoft\\*.exe”
- "%username%\\Local Settings\\Application Data\\*.exe” 
8. Zidentyfikuj systemy sieciowe wystawione na zewnątrz, uruchamiając skanowanie portów na adresach IP sieci WAN. Zidentyfikuj, które systemy sieciowe wykonują przekierowanie portów na odsłoniętych portach.
9. Zabezpiecz następujące protokoły sieciowe:
SSH
Nie należy udzielać dostępu root, a uwierzytelnianie powinno odbywać się za pomocą certyfikatów, a nie nazw użytkowników. Tylko jeden lub dwóch administratorów powinno mieć dostęp do SSH.
FTP
Unikaj serwerów FTP z lukami w zabezpieczeniach. Unikaj logowania się przy użyciu nazwy użytkownika Anonimowy i bez podawania hasła.
RDP i SMB
Wyłącz domyślne konta użytkowników, takie jak Admin lub Administrator. Zezwalaj na łączność tylko ograniczonej liczbie użytkowników.
VNC
Nie używaj VNC do połączeń ze zdalnym pulpitem.
HTTP
a) Nie używaj słabych lub domyślnych poświadczeń..
b) Często skanuj zainstalowane usługi sieciowe (Django, Python, Java, PHP, WordPress) w poszukiwaniu podatności.
c) Upewnij się, że użytkownicy nie mają dostępu do zmiany żadnego aspektu Twojej witryny.
10. Sprawdź urządzenia IoT lub inne urządzenia sieciowe pod kątem luk w zabezpieczeniach (kamery CCTV, serwery NAS, routery), takich jak słabe hasła, podatne lub nieaktualne oprogramowanie, podatne protokoły sieciowe.
11. Wymuszaj uwierzytelnianie dwuskładnikowe (2FA) w całej firmie, w tym w systemach operacyjnych.
12. Stale monitoruj logi sieciowe dla przychodzących połączeń zewnętrznych i blokuj te adresy IP w zaporze sieciowej.
13. Użytkownicy powinni mieć dostęp tylko do tych zasobów, których potrzebują. Zachowaj szczególną ostrożność podczas udzielania im uprawnień zapisu do zasobów.
14. Ogranicz dostęp do udostępnionych folderów sieciowych w zależności od potrzeb biznesowych.
15. Wyłącz udziały administracyjne.
16. Administratorzy sieci powinni monitorować systemy w czasie rzeczywistym pod kątem podejrzanych zachowań, takich jak wysokie użycie procesora.
17. Zablokuj dostęp do wevtutil.exe i vssadmin, aby uniemożliwić użytkownikom usuwanie logów systemowych lub kopii zapasowych systemu.
Angażowanie pomocy technicznej Bitdefender Enterprise w przypadku infekcji ransomware
Jeśli potrzebujesz pomocy w odzyskaniu plików po ataku ransomware, możesz skontaktować się z pomocą techniczną Bitdefender Enterprise.
Bitdefender przeprowadzi analizę, zidentyfikuje odmianę oprogramowania ransomware i podejmie próbę stworzenia narzędzia do odszyfrowania.
Pamiętaj, że opracowanie narzędzia deszyfrującego dla określonego podtypu oprogramowania ransomware to zazwyczaj długotrwały proces, który ma małe szanse powodzenia. Jeśli jednak uda nam się go utworzyć, zapewnimy natychmiastowe udostępnienie go na stronie Bitdefender Labs.
Aby jak najszybciej przeprowadzić właściwe dochodzenie, prześlij nam następujące informacje:
– BDSysLog. Dowiedz się, jak utworzyć dziennik systemowy Bitdefender tutaj.
– Support Tool log. Jak utworzyć plik logu dowiesz się tutaj.
– Notatka z żądaniem okupu wygenerowana po zaszyfrowaniu. Zwykle jest to plik .txt.
– Logi zdarzeń systemu Windows. Te dzienniki można znaleźć w C:\Windows\System32\Winevt\Logs.
– Kilka zaszyfrowanych próbek. Jeśli to możliwe, para plików zaszyfrowanych i niezaszyfrowanych.
– Szacowana data i godzina wystąpienia ataku.
– Inne informacje na temat ataku, które Twoim zdaniem są istotne.Zalecenia
Podczas gdy nasz zespół Antymalware pracuje nad odzyskaniem zaszyfrowanych plików, powinieneś przywrócić systemy w swojej infrastrukturze z kopii zapasowych.
Podejmij następujące działania awaryjne, gdy tylko zostaniesz zaatakowany:
– Zmień hasła użytkowników.
– Zmień konta administratora na inne niż Administrator, jeśli nie są potrzebne.
– Wyłącz udziały administracyjne.
– Zezwalaj na dostęp RDP tylko dla punktów końcowych, które wymagają takiego dostępu zdalnego.
Jeśli uda nam się odzyskać zaszyfrowane pliki, będziesz musiał:
– Przywróć całą infrastrukturę, zachowując zaszyfrowane pliki i notatki z żądaniem okupu w ich oryginalnej lokalizacji, aby umożliwić działanie deszyfratora.
Lub
– Przywrócić system operacyjny, przenosząc zaszyfrowane pliki i notatki z żądaniem okupu do kopii zapasowej, abyśmy mogli tam uruchomić deszyfrator.
Jeśli nie będziemy mogli odzyskać zaszyfrowanych plików, powinieneś przywrócić infrastrukturę swojego systemu z kopii zapasowych.
Inne działania, które możesz podjąć w obliczu ataku oprogramowania ransomware
– Jeśli maszyna wirtualna w sieci jest zainfekowana, a atak trwa, musisz ją odizolować , zawiesić ją, wyłączyć lub wymusić wylogowanie użytkownika.
– Zwróć uwagę na konkretne zachowania, jakie prezentuje atak ransomware. Proces będzie zużywał dużą ilość zasobów procesora.
– Zwróć szczególną uwagę na użytkowników w sieci, ponieważ ten podszywający się pod atakującego będzie zachowywał się dziwnie.
– Użyj niestandardowej aplikacji, która współpracuje z aplikacją chroniącą przed oprogramowaniem ransomware. Ta aplikacja:
a) Wyłączy system, gdy proces zużywa dużą ilość zasobów procesora (>70%).
b) Wyśle powiadomienie do administratora IT dotyczące nadmiernego obciążenia procesora, które będzie zawierać nazwę aplikacji korzystającej z dodatkowych zasobów oraz nazwę maszyny wirtualnej, która korzystała z takiego zasobu.
c) Zamknie system, gdy produkt nie chroni już środowiska (nie jest już uruchomiony na tym komputerze — ostatnia aktualizacja zawartości zabezpieczającej trwa dłużej niż 2 godziny lub główny proces epsecurityservice.exe nie jest uruchomiony).
d) Odmówi wykonania dowolnej aplikacji z wyjątkiem kilku często używanych..
Źródło: https://www.bitdefender.com/business/support/en/77209-343023-protecting-from-ransomware.htmlAutor
Obecnie
Najnowsze wpisy
