Jak chronić się przed oprogramowaniem ransomware

Ransomware to złośliwe oprogramowanie zaprojektowane w celu blokowania dostępu do komputera, dopóki nie zostanie wypłacona kwota pieniężna atakującemu. Niektóre z najbardziej znanych przykładów oprogramowania ransomware to CryptoLocker, CryptoWall, WannaCry i Petya.

Zwykle w przypadku szyfrowania oprogramowania ransomware, pliki lokalne są szyfrowane przy użyciu losowo wygenerowanej pary kluczy skojarzonej z zainfekowanym komputerem. Podczas ,gdy klucz publiczny jest kopiowany na zainfekowanym komputerze, klucz prywatny można uzyskać tylko płacąc za niego w przydzielonym czasie. Jeśli płatność nie zostanie dostarczona, klucz prywatny zostanie usunięty, nie pozostawiając żadnej możliwej metody szyfrowania w celu odzyskania zablokowanych plików.

Jeden z najbardziej powszechnych wektorów infekcji polega na atakowaniu dysku przez zainfekowane reklamy na legalnych stronach internetowych, ale wiadomo również, że infekuje on przez zainfekowane pobrane aplikacje.

Zakażenie wirusem ransomware może być ograniczone, a czasami można zapobiec takiej sytuacji na kilka sposobów:
•       Użyj rozwiązania antywirusowego, które jest stale aktualizowany i może wykonywać aktywne skanowanie
•       Zaplanuj kopie zapasowe plików (lokalnie w chmurze), aby można było odzyskać dane w przypadku uszkodzenia
•       Przestrzegaj bezpiecznych praktyk internetowych, nie odwiedzając wątpliwych witryn internetowych, nie klikaj linków ani nie otwieraj załączników w wiadomościach e-mail z niepewnych źródeł, ani nie podawaj danych osobowych w publicznych czatach lub na forach
•       Zaimplementuj / włącz możliwości blokowania reklam i filtry antyspamowe
•       Wirtualizuj lub całkowicie wyłącz Flash, ponieważ był wielokrotnie używany jako wektor infekcji
•       Wyszkol pracowników do rozpoznawania prób socjotechniki i wiadomości e-mail typu „phishing”
•       Włącz zasady ograniczeń oprogramowania. Administratorzy systemu muszą narzucić obiekty polityki grupy w rejestrze, aby zablokować pliki wykonywalne z określonych lokalizacji. Można to osiągnąć tylko podczas uruchamiania wersji Windows Professional lub Windows Server. Opcję Ograniczenia Oprogramowania można znaleźć w edytorze Zasad Zabezpieczeń Lokalnych. Po kliknięciu przycisku Nowe Zasady Ograniczeń Oprogramowania w sekcji Reguły Dodatkowe, należy zastosować następujące Reguły Ścieżek z Niedozwolonympoziomem zabezpieczeń:

– %username%\Appdata\Roaming\*.exe

– %appdata%MicrosoftWindowsStart MenuProgramsStartup\.*exe
– C:\*.exe

– %temp%\*.exe
– %userprofile%\Start Menu\Programs\Startup\*.exe
– %userprofile%\*.exe
– %username%\Appdata\*.exe
– %username%\Appdata\Local\*.exe
– %username%\Application Data\*.exe
– %username%\Application Data\Microsoft\*.exe
– %username%\Local Settings\Application Data\*.exe