Omezení rizik ransomwaru a ochrana pomocí aplikace
Symantec Endpoint Protection
a Symantec Endpoint Security

Co je ransomware?

Ransomware je kategorie malwaru, která zašifruje dokumenty, takže jsou nepoužitelné, a zbytek počítače ponechá přístupný. Útočníci využívající ransomware nutí oběti, aby zaplatily výkupné prostřednictvím požadovaných způsobů platby s tím, že po jeho uhrazení mohou nebo nemusí obětem povolit přístup k jejich datům.
Cílený ransomware je mnohem složitější než původní útoky využívající ransomware a zahrnuje více než jen počáteční infikování. Útočníci objevili další způsoby vydírání organizací, které jim padly za oběť, a používají následující metody distribuce:
  • Phishing
    : E-maily zaslané zaměstnancům, které se tváří jako pracovní korespondence.
  • Malvertising
    : Ohrožující weby s mediálním obsahem, které poskytují škodlivé reklamy obsahující rozhraní jazyka JavaScript známé jako SocGholish, které se maskuje jako aktualizace softwaru.
  • Využití zranitelností
    : Využívání zranitelného softwaru, který je spuštěný na veřejně dostupných serverech.
  • Sekundární infikování
    : Využívání již existujících sítí botnet za účelem získání přístupu do sítě oběti.
  • Špatně zabezpečené služby
    : Útok na organizace skrze špatně zabezpečené služby RDP, který využívá uniklé nebo slabé přihlašovací údaje.

Ochrana před ransomwarem pomocí aplikace
Symantec Endpoint Protection Manager
nebo Symantec Endpoint Security

Cílení útoky využívající ransomware lze rozdělit do několika obsáhlých fází: počáteční ohrožení, privilegovaná eskalace a krádež přihlašovacích údajů, taktika lateral movement a zašifrování a odstranění záloh. Nejlepší obranou je zablokovat různé typy útoků a znát řetězec útoků, který většina skupin kyberzločinců používá k identifikaci priorit zabezpečení. Bohužel odstranění šifrování ransomwarem není možné s využitím nástrojů pro odstraňování.
V aplikaci
Symantec Endpoint Protection Manager
nebo Symantec Endpoint Security zaveďte a povolte následující funkce. Některé funkce jsou povoleny již ve výchozím nastavení.
Funkce
Symantec Endpoint Protection
Symantec Endpoint Security
Ochrana na bázi souborů
Software Symantec přesouvá do karantény následující typy souborů: Ransom.Maze, Ransom.Sodinokibi a Backdoor.Cobalt.
Ochrana před viry a spywarem je ve výchozím nastavení povolena.
Prevence a ochrana před viry a spywarovými útoky na klientské počítače
Zásada ochrany před malwarem je ve výchozím nastavení povolena.
SONAR
Ochrana pomocí funkce SONAR založená na způsobech chování představuje další důležitou ochranu proti malwaru. Funkce SONAR zabraňuje spuštění spustitelných souborů s dvojími názvy, které patří k variantám malwaru typu ransomware, jako například CryptoLocker.
V zásadě ochrany před viry a spywarem klikněte na možnost
SONAR
>
Povolit ochranu SONAR
(ve výchozím nastavení povoleno).
Správa funkce SONAR
V zásadě ochrany před malwarem klikněte na možnost
Enable behavioral analysis
(Povolit analýzu podezřelého chování – ve výchozím nastavení povoleno).
Download Insight nebo Intenzivní ochrana
Úpravou funkce Symantec Insight přesunete do karantény soubory, u kterých podle základny zákazníků společnosti Symantec zatím nebyla prokázána jejich bezpečnost.
Funkce Download Insight je součástí výchozí zásady
Ochrana před viry a spywarem – vysoké zabezpečení
.
Funkce Download Insight je vždy povolena a je součástí zásady
Intenzivní ochrana
. Pokud chcete změnit nastavení funkce Intenzivní ochrana, zde je návod:
Systém prevence narušení (IPS)
:
  • Systém IPS blokuje některé hrozby, které běžné definice virů samy o sobě nemohou zastavit. Systém IPS představuje nejlepší ochranu proti automatickému stahováním z webu, při kterému dochází k neúmyslnému stažení softwaru z internetu. Útočníci často používají sady pro neoprávněné využití, aby prostřednictvím automatického stahování z webu zahájili webový útok, jako například CryptoLocker.
  • V některých případech může IPS zablokovat šifrování souborů přerušením komunikace C&C (command-and-control). Server C&C je počítač ovládaný útočníkem nebo kyberzločincem a slouží k odesílání příkazů do systémů ohrožených malwarem, dále také přijímá data ukradená z cílové sítě.
  • Hodnocení adres URL
    předvídá webové hrozby na základě skóre hodnocení webové stránky. Možnost
    Povolit hodnocení adres URL
    blokuje webové stránky se skórem hodnocení pod určitou mezní hodnotou. (Verze 14.3 RU1 a novější)
Povolení prevence narušení sítě nebo prevence narušení prohlížeče
Hodnocení adres URL je ve výchozím nastavení povoleno.
Začínáme s prevencí narušení
Hodnocení adres URL není ve výchozím nastavení povoleno.
Blokování souborů PDF a skriptů
V zásadě Výjimky klikněte na možnost
Výjimky systému Windows
>
Přístup k souboru
.
K vyloučení známých špatných souborů a domén použijte seznamy Allow List (Seznam povolených položek) a Deny List (Seznam odmítnutých položek). Klikněte na možnost
Nastavení
>
Deny List (Seznam odmítnutých položek) a Allow List (Seznam povolených položek)
.
Stáhněte si nejnovější opravy webových aplikačních rozhraní, webových prohlížečů a modulů plug-in webových prohlížečů.
  1. K vyloučení aplikací ze spuštění v adresářích uživatelských profilů, například Local a LocalLow, použijte řízení aplikací a zařízení. Ransomwarové aplikace se instalují do různých adresářů kromě adresáře Local\Temp\Low.
  2. K identifikace souborů s chování ransomwaru použijte nástroj Endpoint Detection Response (EDR):
    1. V souborech MS Office zasílaných e-mailem zakažte makra.
    2. Klikněte pravým tlačítkem na zjištěné koncové body a vyberte možnost
      Isolate
      (Izolovat). Pokud chcete izolovat a znovu spojit koncové body z konzole, budete potřebovat zásadu karantény brány firewall v aplikaci Symantec Endpoint Protection Manager, která je přiřazena k zásadě integrity hostitele.
  • Zjišťovací prověřování – cloudová konzole poskytuje ucelený přehled souborů, aplikací a spustitelných souborů, které se vyskytují ve vašem prostředí. Můžete zobrazit informace o rizicích, zranitelnostech, hodnocení, zdroji a dalších charakteristikách, které jsou spojené s těmito zjištěnými položkami.
  • Použijte zjištěné položky, když je povolena funkce EDR. Agent zjišťování v aplikaci SES je podobný nespravovanému detektoru v aplikaci SEP, ale agent poskytuje mnohem více informací a jednotlivých souborech a aplikacích.
  • Řízení aplikací ovládá a spravuje použití nechtěných a neschválených aplikací ve vašem prostředí. Řízení aplikací v aplikaci SES má jinou funkci než v aplikaci SEP.
    Začínáme s řízením aplikací
    • V případě aplikace Symantec Agent 14.3 RU1 a novějších použijte možnost Behavioral Isolation (Izolace podle chování) na koncové body, které nepoužívají izolaci aplikací a řízení aplikací. Zásada izolace aplikací podle chování identifikuje způsob, jak nakládat s podezřelým chováním, které by mohly provádět důvěryhodné aplikace. Když je v zásadě dostupná nová signatura chování nebo stávající signatura chování, obdržíte výstrahy v cloudové konzoli a zprávu v zásadě. Sami určíte, zda je chování výsledkem útoku na soubor a určíte další postup.
Součást aplikace Symantec Endpoint Security Complete
Přesměrování síťového provozu a Web Security Service
Použijte přesměrování síťového provozu a nastavení zabezpečeného připojení tak, že když budete na podnikové síti, doma nebo mimo kancelář, koncové body budou mít možnost integrace se službou Symantec Web Security Service (WSS). Přesměrování síťového provozu (NTR) přesměruje internetový provoz na straně klienta do služby Symantec WSS, kde je provoz povolen nebo blokován na základě zásad služby WSS.
Omezení zneužití paměti
Chrání známé zranitelnosti v neopraveném softwaru, například webový server JBoss nebo Apache, které útočníci využívají.
AMSI a prověřování bez souborů
Vývojáři aplikací třetích stran mohou chránit své zákazníky před dynamickým malwarem založeným na skriptech a před netradičními cestami kybernetického útoku. Aplikace jiného výrobce volá rozhraní Windows AMSI a požaduje prověření skriptu poskytnutého uživatelem, který je směrován do klienta aplikace Symantec Endpoint Protection. Klient odpoví verdiktem o tom, zda je chování skriptu škodlivé. Pokud chování není škodlivé, spuštění skriptu pokračuje. Pokud je chování skriptu škodlivé, aplikace ho nespustí. V klientovi se v dialogovém okně Výsledky zjišťování zobrazí stav „Přístup byl odepřen“. Ke skriptům jiných výrobců patří například Windows PowerShell, JavaScript a VBScript. Je třeba povolit funkci Auto-Protect. Tato funkce pracuje v počítačích se systémem Windows 10 a novějšími.
Verze 14.3 a novější.
Není k dispozici.
Endpoint Detection and Response (EDR)
Nástroj EDR se zaměřuje na chování spíše než na soubory a dokáže posílit obranu před cíleným phishingem a zabránit použití nástrojů dostupných v cílovém systému. Pokud například aplikace Word normálně nespustí prostředí PowerShell v prostředí zákazníka, musí být přesunuta do režimu blokování. Uživatelské rozhraní nástroje EDR zákazníkům umožňuje snadno pochopit, která chování jsou běžná a mohou být povolena, která jsou viditelná, ale je třeba na ně upozornit, a chování, která běžná nejsou a je nutné je zablokovat. Mezery můžete také řešit okamžitě jako součást vyšetřování a reakce na výstrahy k incidentům. Výstraha k incidentu zobrazí všechna chování, která byla pozorována jako součást narušení, a nabízí možnost přesunout je do režimu blokování ihned na stránce s podrobnostmi o incidentu.
Ochrana pomoc umělé inteligence
Cloudová analýza cílených útoků, kterou provádí společnost Symantec, využívá pokročilé strojové učení ke zjištění vzorců aktivit spojených s cílenými útoky.
Součást aplikace Symantec Endpoint Security Complete.
Použijte nástroje auditování, které vám pomohou získat přehled o koncových bodech v podnikové síti i mimo ni předtím, než ransomware získá šanci se rozšířit.
  • Pokud klient zjistí, že podezřelý soubor představuje vysoké riziko nebo velmi vysoké riziko, bude se to na kartě
    Moje úlohy
    zobrazovat po dobu 90 dní, abyste mohli situaci řešit.
  • Pokud zařízení zjistí soubor, který vytváří škodlivý provoz, bude se to na kartě
    Moje úlohy
    zobrazovat po dobu 90 dní, abyste mohli situaci řešit.
  • Při testování falešných poplachů změňte chování omezení zneužití paměti tak, aby prověřilo zjištění, ale nechalo aplikaci běžet.
  • Playbooky jsou předem nakonfigurované pracovní postupy, které umožňují správu a zabezpečení zařízení ve vašem prostředí.

Osvědčené postupy k omezení rizik ransomwaru

Hardening Your Environment Against Ransomware
Kromě povolení ochrany aplikací SEP a SES, která zabrání infikování ransomwarem, proveďte následující kroky.
Krok
Popis
1. Chraňte své místní prostředí
  1. Dbejte na to, abyste měli nejnovější verzi prostředí PowerShell
    a abyste měli povolené protokolování.
  2. Zakažte přístup ke službám RDP.
    RDP povolte pouze z konkrétních známých adres IP a dbejte na to, abyste používali vícefaktorové ověřování. Použijte aplikaci File Server Resource Manager (FSRM) k uzamčení možnosti zápisu známých přípon ransomwaru u sdílených souborů, kde je požadováno, aby měl uživatel přístup k zápisu.
  3. Vytvořte plán, který bude zohledňovat oznámení třetích stran
    . Za účelem správného informování příslušných organizací, například FBI nebo jiných policejních složek, mějte připravený plán pro ověřování.
  4. Vytvořte „krabičku poslední záchrany“ s tištěnými kopiemi a archivovanými a dočasnými kopiemi všech důležitých administrativních informací
    . Pokud chcete chránit dostupnosti těchto důležitých informací před ohrožením, uložte je do krabičky s hardwarem a softwarem potřebným k řešení problémů. Uložení těchto informací na síti nebude příliš užitečné v případě, kdy dojde k zašifrování síťových souborů. Zaveďte řádný audit a kontrolu využívání správcovských účtů. Můžete také zavést jednorázové přihlašovací údaje pro administrativní práci, abyste zabránili krádeži a použití přihlašovacích údajů správce.
  5. Vytvořte profily používání pro nástroje správce
    . Mnoho z těchto nástrojů používají útočníci k nezjistitelnému pohybu po síti. Uživatelský účet, který byl v minulosti spuštěn jako správce pomocí PsInfo/PsExec v malém počtu systémů, je pravděpodobně v pořádku, ale účet služby spouštějící nástroj PsInfo/PsExec ve všech systémech je podezřelý.
2. Chraňte e-mailový systém
  1. Povolte dvoufaktorové ověřování (2FA), abyste vyloučili ohrožení zabezpečení přihlašovacích údajů během phishingových útoků.
  2. Posilte architekturu zabezpečení kolem e-mailových systémů
    , abyste minimalizovali množství nevyžádané pošty, která se dostane do schránek koncových uživatelů, a zajistili dodržování osvědčených postupů pro váš e-mailový systém, včetně použití protokolu SPF a dalších obranných opatření proti phishingovým útokům.
3. Zálohujte
Pravidelně zálohujte soubory na klientech i serverech. Zálohujte soubory, když jsou počítače ve stavu offline, nebo použijte systém, na který síťové počítače a servery nemohou zapisovat. Pokud nemáte speciální software pro zálohování, můžete také zkopírovat důležité soubory na vyměnitelná média. Poté vyměnitelná média vysuňte a odpojte. Nenechávejte je připojená.
  1. Zřiďte úložiště kopií záloh mimo firmu
    . Zařiďte si úložiště mimo firmu, kde budou týdně ukládány úplné zálohy a denně přírůstkové zálohy za alespoň poslední čtyři týdny.
  2. Zřiďte offline zálohy na místě
    . Dbejte na to, aby zálohy nebyly připojené k síti. Tím zabráníte jejich zašifrování ransomwarem. Odebrání se nejlépe provádí se systémem odpojeným od sítě, čím se zabrání případnému šíření hrozby.
  3. Ověřte a otestujte řešení záloh na úrovni serverů.
    Toto by již mělo být součástí procesu zotavení po havárii.
  4. Zabezpečteí oprávnění na úrovni souborů pro zálohy a zálohovací databáze.
    Nenechte své zálohy zašifrovat.
  5. Otestujte možnost obnovení.
    Dbejte na to, aby možnosti obnovení podporovaly potřeby firmy.
Uzamkněte mapované síťové jednotky tak, že je zabezpečíte heslem a omezeními kontroly přístupu. U souborů na síťových jednotkách použijte přístup jen pro čtení, pokud v případě těchto souborů není nezbytně nutné mít přístup pro zápis. Omezením oprávnění uživatele se sníží množství souborů, které mohou hrozby zašifrovat.

Co je třeba udělat v případě napadení ransomwarem?

K dispozici není žádný nástroj pro odstraňování ransomwaru. Žádný bezpečnostní produkt nemůže dešifrovat soubory, které ransomware zašifruje. Pokud jsou klientské počítače nakaženy malwarem typu ransomware a data jsou zašifrována, postupujte podle těchto kroků:
  1. Neplaťte výkupné.
    Pokud zaplatíte výkupné:
    • Nemáte žádnou záruku, že vám útočník sdělí, jak odblokovat počítač nebo dešifrovat soubory.
    • Útočník použije výkupné jako prostředky k dalším útokům na jiné uživatele.
  2. Izolujte infikovaný počítač, dříve než malware typu ransomware zaútočí na síťové jednotky, ke kterým má přístup.
  3. Pomocí aplikace
    Symantec Endpoint Protection Manager
    nebo SES aktualizujte definice virů a prověřte klientské počítače.
    Nové definice pravděpodobně ransomware zjistí a provedou nápravu. Aplikace
    Symantec Endpoint Protection Manager
    automaticky stáhne definice virů do klienta, pokud je klient spravován a připojen k serveru pro správu nebo cloudové konzoli.
    • V aplikaci
      Symantec Endpoint Protection Manager
      klikněte na položku
      Klienti
      , pravým tlačítkem klikněte na skupinu a poté klikněte na položky
      Spustit příkaz na skupinu
      >
      Aktualizovat obsah a prověřit
      .
    • V aplikaci Symantec Endpoint Security spusťte příkaz
      Prověřit
      .
      Spuštění příkazů na klientských zařízeních
  4. Pomocí čisté instalace proveďte opakovanou instalaci.
    Pokud obnovíte zašifrované soubory ze zálohy, můžete získat obnovená data, ale je možné, že v průběhu útoku byl nainstalován další malware.
  5. Odešlete malware do střediska Symantec Security Response.
    Pokud dokážete rozpoznat nebezpečný e-mail nebo spustitelný soubor, odešlete jej do střediska Symantec Security Response. Tyto vzorky umožní společnosti Symantec vytvořit nové signatury a zlepšit ochranu proti malwaru typu ransomware.