Ransomware stoi na czele listy zagrożeń dla systemów IT.

Od poczÄ…tku 2016 roku widzieliÅ›my ogromny wzrost zarówno różnorodnoÅ›ci jak i czÄ™stotliwoÅ›ci ataków tego typu. W tym cyklu artykułów opisujemy wszystko, co musisz wiedzieć o Ransomware, jak chronić swoje komputery przed zagrożeniem i co zrobić, jeÅ›li już staÅ‚eÅ› siÄ™ ofiarÄ… tego szkodnika.

Kontynuujemy nasz cykl artykułów na temat Ransomware. W pierwszej części ogólnie omówiliÅ›my czym jest ransomware, w drugiej – opisaliÅ›my jak dziaÅ‚a.

Dzisiaj zajmiemy się tematyką obrony przed tym zagrożeniem.

Jak powstrzymać infekcję ransomware

Oprócz działań zmierzających do zapobieżenia infekcji, powinieneś również podjąć kroki, które sprawią, że działanie ransomware będzie utrudnione.

Antywirus, antymalware, ochrona przed exploitami

Rozwiązań dedykowanych do walki z ransomware jest bardzo dużo. Prawdę powiedziawszy, ciężko nawet zrozumieć, które rozwiązanie co robi. Aby uprościć całą sytuację, postaramy się podzielić je, w zależności od tego na jakim etapie ataku są one skuteczne. Kompleksowa ochrona wymaga zastosowania ochrony na każdym etapie ataku.

Cel nr 1: Powstrzymać ransomware przed dostarczeniem

Rozwiązania, które mogą pomóc na tym etapie, to:

  • Ochrona styku sieci (firewalle, UTM, filtry email i antyspamowe)
  • Szkolenia użytkowników
  • Ochrona przed exploitami (systemy zarzÄ…dzania poprawkami, AD Blockery itd.)

Oczywiście cześć zagrożeń może pokonać pierwszą linię obrony. Wynika to z faktu, że użytkownicy są tylko ludźmi i, nawet nie wiadomo jak często szkoleni, klikną od czasu do czasu w coś w co nie powinni. Dlatego kolejna linia obrony ma na celu powstrzymanie ransomware od wykonania.

Cel nr 2: Nie dopuścić do uruchomienia

Narzędzia przydatne na tym etapie to:

  • oprogramowanie antywirusowe
  • rozwiÄ…zania typu “sandboxing”
  • inne rozwiÄ…zania, takie jak biaÅ‚e listy aplikacji (np. AppLocker w Windows 10), rozwiÄ…zania blokujÄ…ce wykonaie aplikacji oparte o GPO, blokowanie makr MS Office itd.

Cel nr 3: Powstrzymać uruchomiony kod od spowodowania szkód

Zablokowanie kodu po uruchomieniu jest ostatnią deską ratunku przed infekcją. Przykład konfiguracji ochrony na tym etapie (z wykorzystaniem rozwiązań firmy ESET) opiszemy w jednym z najbliższych artykułów.

Następne dwa punkty dotyczą działań, które należy podjąć w momencie gdy dojdzie już do infekcji.

Cel nr 4: Powstrzymać epidemię ransomware

Na tym etapie komputer został zainfekowany. Naszym celem jest teraz zablokowanie możliwości rozsyłania się zagrożenia na kolejne komputery w sieci firmowej. Przykładowe rozwiązania to:

  • System zarzÄ…dzania incydentami
  • oprogramowanie monitorujÄ…ce sieć firmowÄ…
  • wyÅ‚Ä…czanie uprawnieÅ„ administracyjnych, o ile to tylko możliwe, itd.

Cel nr 5: Przywrócenie systemu do działania bez płacenia okupu

Ostatnie zadanie, które nam pozostało, to odzyskanie dostępu od zainfekowanego systemu / danych.

  • Przywrócenie systemu z kopii zapasowej
  • narzÄ™dzia deszyfrujÄ…ce
  • oprogramowanie usuwajÄ…ce zagrożenia

W ostatniej części naszego cyklu na temat ransomware omówimy bardziej szczegółowo metodologię postępowania po infekcji.