Ograniczanie skutków oprogramowania wymuszającego okup i ochrona za pomocą
Symantec Endpoint Protection
i programu Symantec Endpoint Security

Co to jest program typu ransomware?

Oprogramowanie typu ransomware (wymuszające okup) to kategoria złośliwego oprogramowania, które szyfruje dokumenty, przez co stają się one bezużyteczne, a reszta komputera pozostaje dostępna. Osoby atakujące za pomocą oprogramowania ransomware próbują zmusić swoje ofiary do zapłacenia okupu za pomocą specjalnie wyszczególnionych metod płatności, po czym mogą, ale nie muszą przyznać ofiarom ataku dostęp do ich danych.
Targetowane oprogramowanie ransomware jest bardziej złożone niż oryginalne ataki ransomware i obejmuje więcej niż tylko początkowe zainfekowanie plików. Atakujący znaleźli więcej sposobów na wyłudzanie pieniędzy od organizacji-ofiar, wykorzystując następujące metody dystrybucji:
  • Wyłudzanie danych
    : wiadomości e-mail wysyłane do pracowników podszywające się pod korespondencję związaną z pracą.
  • Szkodliwe reklamy
    : naruszenia bezpieczeństwa stron internetowych w celu udostępniania destrukcyjnych reklam zawierających opartą na JavaScript infrastrukturę i znaną jako SocGholish, która maskuje się jako aktualizacja oprogramowania.
  • Wykorzystanie luk w zabezpieczeniach
    : wykorzystanie podatnego na ataki oprogramowania działającego na serwerach publicznych.
  • Infekcje wtórne
    : wykorzystanie istniejących wcześniej botnetów w celu zdobycia przewagi w sieci ofiary.
  • Słabo zabezpieczone usługi
    : atakowanie organizacji poprzez słabo zabezpieczone usługi Podłączania pulpitu zdalnego (RDP), wykorzystując wycieki lub słabe poświadczenia.

Ochrona przed oprogramowaniem ransomware za pomocą
program Symantec Endpoint Protection Manager
lub programu Symantec Endpoint Security

Kierunkowane ataki ransomware można podzielić na następujące obszerne fazy: wstępne narażenie na atak, eskalacja przywilejów i kradzież poświadczeń, ruchy boczne oraz szyfrowanie i usuwanie kopii zapasowych. Najlepszą obroną jest zablokowanie wielu rodzajów ataków i poznanie łańcucha ataków, który większość grup cyberprzestępczych wykorzystuje do określenia priorytetów bezpieczeństwa. Niestety, odszyfrowywanie programów typu ransomware nie jest możliwe za pomocą narzędzi do usuwania.
W programie
program Symantec Endpoint Protection Manager
lub Symantec Endpoint Security należy wdrożyć i włączyć następujące funkcje. Niektóre funkcje są włączone domyślnie.
Funkcja
Symantec Endpoint Protection
Symantec Endpoint Security
Ochrona oparta na plikach
Firma Symantec poddaje kwarantannie następujące typy plików: Ransom.Maze, Ransom.Sodinokibi i Backdoor.Cobalt
Domyślnie włączona jest ochrona przed wirusami i programami szpiegującymi.
Zapobieganie atakom wirusów i programów typu spyware na komputery klienckie i ich obsługa
Domyślnie włączona jest zasada ochrony przed oprogramowaniem destrukcyjnym.
Technologia SONAR
Ochrona heurystyczna SONAR jest kolejnym ważnym elementem obrony przed destrukcyjnym oprogramowaniem. Technologia SONAR zapobiega uruchomieniu dwóch rodzajów plików wykonywalnych używanych przez programy typu ransomware, takich jak CryptoLocker.
W sekcji Zasada ochrony przed wirusami i programami typu spyware kliknij pozycję
SONAR >
>
Włącz funkcję SONAR
(włączona domyślnie).
Zarządzanie funkcją SONAR
W zasadzie Ochrony przed oprogramowaniem destrukcyjnym kliknij
Włącz analizę podejrzanego sposobu działania
(włączone domyślnie).
Pobierz program Download Insight lub Intensywna ochrona
Zmodyfikuj program Symantec Insight, aby poddawał kwarantannie pliki, których bezpieczeństwo nie zostało jeszcze potwierdzone przez bazę klientów firmy Symantec.
Download Insight jest częścią domyślnej
Zasady ochrony przed wirusami i spyware – wysokie zabezpieczenia
.
Funkcja Download Insight jest zawsze włączona i stanowi część zasady
Intensywnej ochrony
. Aby zmienić ustawienia funkcji Intensywna ochrona, zobacz:
System zapobiegania włamaniom
:
  • System zapobiegania włamaniom blokuje niektóre zagrożenia, których nie powstrzymają zwykłe definicje wirusów. System zapobiegania włamaniom jest najlepszą ochroną przed programami pobieranymi z Internetu bez wiedzy użytkownika. Atakujący zwykle wykorzystują pakiety do luk w zabezpieczeniach, aby przeprowadzić atak typu CryptoLocker, polegając na programie pobranym bez wiedzy ofiary.
  • W niektórych przypadkach systemy IPS mogą zablokować szyfrowanie plików poprzez przerwanie komunikacji C&C (command-and-control). Serwer C&C to komputer kontrolowany przez napastnika lub cyberprzestępcę, który jest wykorzystywany do wysyłania poleceń do systemów naruszonych przez złośliwe oprogramowanie i odbierania skradzionych danych z sieci docelowej.
  • Reputacja adresu URL
    zapobiega zagrożeniom internetowym na podstawie oceny reputacji strony internetowej.
    Włącz reputację adresów URL
    blokuje strony internetowe z oceną reputacji poniżej określonego progu. (14.3 RU1 i nowsze wersje).
Systemem zapobiegania włamaniom – wprowadzenie
Domyślnie nie jest włączona reputacja adresów URL.
Blokuj pliki PDF i skrypty
W zasadach wyjątków kliknij pozycję
Wyjątki systemu Windows
>
Dostęp do plików
.
Użyj list dozwolonych i niedozwolonych, aby uniemożliwić dostęp do znanych złośliwych plików i domen. Kliknij pozycję
Ustawienia
>
Lista niedozwolonych i Lista dozwolonych
.
Pobierz najnowsze poprawki dla aplikacji sieciowych, przeglądarek internetowych i wtyczek do przeglądarek internetowych.
  1. Użyj funkcji Kontrola aplikacji i urządzeń, aby zapobiec uruchamianiu aplikacji w katalogach profilu użytkownika, takich jak Local i LocalLow. Aplikacje typu ransomware instalują się w wielu katalogach oprócz Local\Temp\Low.
  2. Używaj programu Endpoint Detection Response (EDR) do identyfikacji plików z zachowaniem ransomware:
    1. Wyłącz skrypty makr z plików MS Office, które są przesyłane za pośrednictwem poczty elektronicznej.
    2. Kliknij prawym przyciskiem myszy wykryte punkty końcowe i wybierz opcję
      Izoluj
      . Aby izolować i ponownie dołączać punkty końcowe z konsoli, należy posiadać Zasadę kwarantanny zapory w programie Symantec Endpoint Protection Manager, która jest przypisana do Zasady integralności hosta.
  • Skanowanie wykrywające – konsola chmury zapewnia kompleksowy widok plików, aplikacji i plików wykonywalnych, które pojawiają się w środowisku. Można wyświetlić informacje o zagrożeniach, podatnościach, reputacji, źródle i innych cechach, które są powiązane z tymi wykrytymi elementami.
  • Użyj wykrytych elementów, gdy włączone jest EDR; agent wykrywania w programie SES jest podobny do niezarządzanego detektora w programie SEP, ale dostarcza on znacznie więcej informacji o poszczególnych plikach i aplikacjach.
  • Kontrola aplikacji kontroluje i zarządza używaniem niepożądanych i nieautoryzowanych aplikacji w środowisku pracy. Kontrola aplikacji w programie SES to inna funkcja niż w programie SEP.
    Kontrola aplikacji – wprowadzenie
    • W przypadku Agentów Symantec 14.3 RU1 i nowszych należy używać Izolacji podejrzanego sposobu działania dla punktów końcowych, które nie korzystają z Izolacji aplikacji i Kontroli aplikacji. Zasada Izolacji podejrzanego sposobu działania aplikacji określa, w jaki sposób traktować podejrzane zachowania ze strony zaufanych aplikacji. Użytkownik otrzymuje alerty w konsoli chmury oraz komunikat w zasadzie, gdy nowa lub istniejąca sygnatura podejrzanego sposobu działania jest dostępna w zasadzie. Użytkownik określa, czy podejrzany sposób działania jest wynikiem ataku na plik i określa odpowiednie na nim działanie.
Część programu Symantec Endpoint Security Complete
Przekierowanie ruchu sieciowego i usługa Web Security Services
Przekierowanie ruchu sieciowego i ustawienia bezpiecznych połączeń umożliwiają integrację urządzeń końcowych z usługą Symantec Web Security Service (WSS) w sieci firmowej, w domu lub poza biurem. NTR przekierowuje cały ruch internetowy lub ruch sieciowy na kliencie do usługi Symantec WSS, gdzie ruch jest dozwolony lub blokowany na podstawie zasad WSS.
Ograniczenie ataków na pamięć
Chroni przed znanymi lukami w niezałatanym oprogramowaniu, takim jak JBoss czy serwer Apache web, które są wykorzystywane przez napastników.
AMSI i skanowanie bez plików
Deweloperzy aplikacji innych firm mogą chronić swoich klientów przed dynamicznym złośliwym oprogramowaniem opartym na skryptach i przed nietradycyjnymi sposobami cyberataku. Aplikacja innej firmy wywołuje interfejs AMSI systemu Windows, aby zażądać skanowania skryptu dostarczonego przez użytkownika, który jest kierowany do klienta programu Symantec Endpoint Protection. Klient odpowiada werdyktem, aby wskazać, czy zachowanie skryptu jest złośliwe. Jeśli zachowanie nie jest złośliwe, wówczas wykonanie skryptu postępuje. Jeśli zachowanie skryptu jest złośliwe, aplikacja nie uruchamia go. Na kliencie w oknie dialogowym Wyniki wykrywania wyświetlany jest stan „Odmowa dostępu”. Przykłady skryptów innych firm obejmują programy Windows PowerShell, JavaScript i VBScript. Funkcja Automatyczna ochrona musi być włączona. Ta funkcja działa na komputerach z systemem Windows 10 i nowszych.
14.3 i nowsze wersje.
Niedostępne.
Endpoint Detection and Response (EDR)
EDR skupia się na zachowaniach, a nie na plikach i może wzmocnić obronę przed wyłudzaniem danych typu „spear phishing” i wykorzystaniem narzędzi typu „living-off-the-land”. Przykładowo, jeśli program Word nie uruchamia normalnie PowerShell w środowisku klienta, to powinien on być umieszczony w trybie blokowania. Interfejs użytkownika EDR pozwala klientom w łatwy sposób zrozumieć, które zachowania są powszechne i powinny być dozwolone, które są widoczne, ale powinny być raportowane w alertach, a które są rzadkie i powinny być blokowane. Można również zająć się lukami w sposób reaktywny, w ramach analizowania i reagowania na alerty o incydentach. Alert incydentu pokaże wszystkie zachowania, które zostały zaobserwowane jako część naruszenia, i daje możliwość włączenia trybu blokowania bezpośrednio ze strony szczegółów incydentu.
Ochrona w oparciu o sztuczną inteligencję
Analityka ukierunkowanych ataków w chmurze firmy Symantec wykorzystuje zaawansowane uczenie maszynowe do wykrywania wzorców aktywności związanych z atakami ukierunkowanymi.
Część programu Symantec Endpoint Security Complete.
Użyj narzędzi do audytu, aby uzyskać wgląd w urządzenia końcowe zarówno w sieci korporacyjnej, jak i poza nią, zanim oprogramowanie typu ransomware będzie miało szansę się rozprzestrzenić.
Wykorzystanie funkcji Ograniczenia ataków na pamięć do testowania wyników fałszywie dodatnich.
Ochrona klientów z systemem Windows przed atakami na pamięć przy użyciu funkcji Ograniczenie ataków na pamięć

Najlepsze praktyki ograniczania ryzyka związanego z oprogramowaniem typu ransomware

Wzmacnianie ochrony środowiska informatycznego przed programami typu ransomware
Oprócz włączenia ochrony programu SEP lub SES, aby uniknąć infekcji oprogramowania ransomware, wykonaj następujące kroki.
Krok
Opis
1. Chroń swoje lokalne środowisko
  1. Upewnij się, że posiadasz najnowszą wersję PowerShell
    i że masz włączone logowanie.
  2. Ogranicz dostępu do usług RDP.
    Zezwalaj na RDP tylko z określonych, znanych adresów IP i upewnij się, że używasz poświadczeń wieloetapowych. Użyj narzędzia File Server Resource Manager (FSRM), aby zablokować możliwość zapisu znanych rozszerzeń ransomware na udziałach plików, gdzie wymagany jest dostęp użytkownika do zapisu.
  3. Stwórz plan uwzględniający powiadamianie stron zewnętrznych
    . Aby zapewnić prawidłowe powiadomienie wymaganych organizacji, takich jak FBI lub inne organy ścigania, upewnij się, że masz plan weryfikacji.
  4. Stwórz „worek do zrzutów” z kopiami papierowymi i zarchiwizowanymi kopiami miękkimi wszystkich istotnych informacji administracyjnych
    . W celu ochrony przed utratą dostępności tych istotnych informacji, należy przechowywać je w „worku do zrzutów” wraz ze sprzętem i oprogramowaniem potrzebnym do rozwiązywania problemów. Przechowywanie tych informacji w sieci nie jest przydatne, gdy pliki sieciowe są zaszyfrowane. Wdróż właściwy audyt i kontrolę użytkowania kont administracyjnych. Można również wdrożyć jednorazowe poświadczenia do pracy administracyjnej, aby zapobiec kradzieży i wykorzystaniu poświadczeń administratora.
  5. Utwórz profile użytkowania narzędzi administracyjnych
    . Wiele z tych narzędzi jest wykorzystywanych przez atakujących do niewykrytego przemieszczania się w sieci. Konto użytkownika, które w przeszłości działało jako admin, używając PsInfo/PsExec na małej liczbie systemów, jest prawdopodobnie w porządku, ale konto usługi wykorzystujące PsInfo/PsExec na wszystkich systemach jest już podejrzane.
2. Zabezpiecz swój system poczty elektronicznej
  1. Włącz uwierzytelnianie dwuetapowe (2FA), aby zapobiec ujawnieniu poświadczeń podczas wyłudzania danych.
  2. Wzmocnij architekturę bezpieczeństwa wokół systemów poczty elektronicznej
    , aby zminimalizować ilość spamu docierającego do skrzynek pocztowych użytkowników końcowych, i upewnij się, że stosujesz najlepsze praktyki dla swojego systemu poczty elektronicznej, w tym stosowanie SPF i innych środków obrony przed atakami wyłudzającymi dane.
3. Utwórz kopie zapasowe
Regularnie twórz kopie zapasowe plików zarówno na klientach, jak i na serwerach. Tworzyć kopie, gdy komputery nie są połączone z Internetem, lub korzystać z systemu, w którym komputery i serwery działające w sieci nie mogą zapisywać danych. Jeśli użytkownik nie dysponuje dedykowanym oprogramowaniem do kopii zapasowych, może także skopiować ważne plik na nośnik wymienny. A następnie odłączyć nośnik od komputera i wyjąć; nie pozostawiać nośnika wymiennego w gnieździe.
  1. Wdróż przechowywanie kopii zapasowych poza siedzibą firmy
    . Zastosuj przechowywanie poza siedzibą firmy kopii zapasowych co najmniej z czterech pełnych tygodni i codziennych kolejnych kopii.
  2. Wdróż kopie zapasowe offline, które znajdują się w siedzibie firmy
    . Sprawdź, czy masz kopie zapasowe, które nie są podłączone do sieci, aby zapobiec ich zaszyfrowaniu przez ataki typu ransomware. Usuwanie najlepiej wykonywać przy wyłączonym systemie z sieci, aby zapobiec potencjalnemu rozprzestrzenianiu się zagrożenia.
  3. Zweryfikuj i przetestuj swoje rozwiązanie do tworzenia kopii zapasowych na poziomie serwera.
    Powinno to być już częścią procesu odzyskiwania danych po awarii.
  4. Zabezpiecz uprawnienia na poziomie plików dla kopii zapasowych i baz danych kopii zapasowych.
    Nie pozwól, aby kopie zapasowe zostały zaszyfrowane.
  5. Przetestuj możliwość przywracania.
    Upewnij się, że możliwości przywracania spełniają potrzeby firmy.
Zablokować zmapowane dyski sieciowe, zabezpieczając je hasłem i ograniczeniami kontroli dostępu. Korzystać z dostępu tylko do odczytu w przypadku plików na dyskach sieciowych, chyba że dostęp do zapisu jest absolutnie konieczny. Ograniczenie uprawnień użytkowników pomoże ograniczyć liczbę plików zagrożonych niepożądanym szyfrowaniem.

Co należy zrobić w przypadku pojawienia się oprogramowania typu ransomware?

Nie ma narzędzia do usuwania oprogramowania typu ransomware. Żaden produkt zabezpieczający nie może odszyfrować plików zaszyfrowanych przez oprogramowanie typu ransomware. Jeśli dojdzie do zainfekowania komputera, a w wyniku tego do niepożądanego zaszyfrowania danych, należy wykonać poniższe czynności:
  1. Powstrzymać się od płacenia okupu.
    Jeśli okup zostanie przekazany:
    • Nie ma gwarancji, że atakujący udostępni użytkownikowi jakikolwiek sposób odszyfrowania plików lub odblokowania komputera.
    • Atakujący korzysta z pieniędzy pochodzących z okupu, aby przeprowadzać kolejne ataki przeciwko innym osobom.
  2. Odizolować zainfekowany komputer, zanim program do ataków typu ransomware zaatakuje dyski sieciowe, do których ten komputer ma dostęp.
  3. Użyj programu
    program Symantec Endpoint Protection Manager
    lub SES, aby zaktualizować definicje wirusów i przeskanować komputery klienckie.
    Nowe definicje prawdopodobnie wykryją i usuną oprogramowanie ransomware. Program
    program Symantec Endpoint Protection Manager
    automatycznie pobiera definicje wirusów na klienta tak długo, jak klient jest zarządzany i podłączony do serwera zarządzającego lub konsoli chmury.
    • W programie
      program Symantec Endpoint Protection Manager
      kliknij pozycję
      Klienty
      , kliknij prawym przyciskiem myszy grupę, a następnie kliknij pozycje
      Wykonaj polecenie w grupie
      >
      Aktualizacja treści i skanowanie
      .
    • W programie Symantec Endpoint Security uruchom polecenie
      Skanuj teraz
      .
      Uruchamianie poleceń na urządzeniach klienckich
  4. Zainstaluj ponownie przy użyciu czystej instalacji.
    Jeśli przywrócisz zaszyfrowane pliki z kopii zapasowej, możesz odzyskać przywrócone dane, ale możliwe, że w trakcie ataku zostało zainstalowane inne złośliwe oprogramowanie.
  5. Przesłać destrukcyjne oprogramowanie do centrum Symantec Security Response.
    Jeśli użytkownikowi uda się zidentyfikować destrukcyjne wiadomości e-mail lub pliki wykonywalne, należy je przesłać do centrum Symantec Security Response. Dzięki tym próbkom firma Symantec będzie mogła utworzyć nowe sygnatury i udoskonalić ochronę przeciwko programom typu ransomware.