Ransomware stoi na czele listy zagrożeń dla systemów IT.

Od początku 2016 roku widzieliśmy ogromny wzrost zarówno różnorodności jak i częstotliwości ataków tego typu. W tym cyklu artykułów opisujemy wszystko, co musisz wiedzieć o Ransomware, jak chronić swoje komputery przed zagrożeniem i co zrobić, jeśli już stałeś się ofiarą tego szkodnika.

Kontynuujemy nasz cykl artykułów na temat Ransomware. W pierwszej części ogólnie omówiliśmy czym jest ransomware, w drugiej – opisaliśmy jak działa.

Dzisiaj zajmiemy się tematyką obrony przed tym zagrożeniem.

Jak powstrzymać infekcję ransomware

Oprócz działań zmierzających do zapobieżenia infekcji, powinieneś również podjąć kroki, które sprawią, że działanie ransomware będzie utrudnione.

Antywirus, antymalware, ochrona przed exploitami

Rozwiązań dedykowanych do walki z ransomware jest bardzo dużo. Prawdę powiedziawszy, ciężko nawet zrozumieć, które rozwiązanie co robi. Aby uprościć całą sytuację, postaramy się podzielić je, w zależności od tego na jakim etapie ataku są one skuteczne. Kompleksowa ochrona wymaga zastosowania ochrony na każdym etapie ataku.

Cel nr 1: Powstrzymać ransomware przed dostarczeniem

Rozwiązania, które mogą pomóc na tym etapie, to:

  • Ochrona styku sieci (firewalle, UTM, filtry email i antyspamowe)
  • Szkolenia użytkowników
  • Ochrona przed exploitami (systemy zarządzania poprawkami, AD Blockery itd.)

Oczywiście cześć zagrożeń może pokonać pierwszą linię obrony. Wynika to z faktu, że użytkownicy są tylko ludźmi i, nawet nie wiadomo jak często szkoleni, klikną od czasu do czasu w coś w co nie powinni. Dlatego kolejna linia obrony ma na celu powstrzymanie ransomware od wykonania.

Cel nr 2: Nie dopuścić do uruchomienia

Narzędzia przydatne na tym etapie to:

  • oprogramowanie antywirusowe
  • rozwiązania typu „sandboxing”
  • inne rozwiązania, takie jak białe listy aplikacji (np. AppLocker w Windows 10), rozwiązania blokujące wykonaie aplikacji oparte o GPO, blokowanie makr MS Office itd.

Cel nr 3: Powstrzymać uruchomiony kod od spowodowania szkód

Zablokowanie kodu po uruchomieniu jest ostatnią deską ratunku przed infekcją. Przykład konfiguracji ochrony na tym etapie (z wykorzystaniem rozwiązań firmy ESET) opiszemy w jednym z najbliższych artykułów.

Następne dwa punkty dotyczą działań, które należy podjąć w momencie gdy dojdzie już do infekcji.

Cel nr 4: Powstrzymać epidemię ransomware

Na tym etapie komputer został zainfekowany. Naszym celem jest teraz zablokowanie możliwości rozsyłania się zagrożenia na kolejne komputery w sieci firmowej. Przykładowe rozwiązania to:

  • System zarządzania incydentami
  • oprogramowanie monitorujące sieć firmową
  • wyłączanie uprawnień administracyjnych, o ile to tylko możliwe, itd.

Cel nr 5: Przywrócenie systemu do działania bez płacenia okupu

Ostatnie zadanie, które nam pozostało, to odzyskanie dostępu od zainfekowanego systemu / danych.

  • Przywrócenie systemu z kopii zapasowej
  • narzędzia deszyfrujące
  • oprogramowanie usuwające zagrożenia

W ostatniej części naszego cyklu na temat ransomware omówimy bardziej szczegółowo metodologię postępowania po infekcji.