Ransomware stoi na czele listy zagrożeń dla systemów IT.
Od początku 2016 roku widzieliśmy ogromny wzrost zarówno różnorodności jak i częstotliwości ataków tego typu. W tym cyklu artykułów opisujemy wszystko, co musisz wiedzieć o Ransomware, jak chronić swoje komputery przed zagrożeniem i co zrobić, jeśli już stałeś się ofiarą tego szkodnika.
Kontynuujemy nasz cykl artykułów na temat Ransomware. W pierwszej części ogólnie omówiliÅ›my czym jest ransomware, w drugiej – opisaliÅ›my jak dziaÅ‚a.
Dzisiaj zajmiemy się tematyką obrony przed tym zagrożeniem.
Jak powstrzymać infekcję ransomware
Oprócz działań zmierzających do zapobieżenia infekcji, powinieneś również podjąć kroki, które sprawią, że działanie ransomware będzie utrudnione.
Antywirus, antymalware, ochrona przed exploitami
Rozwiązań dedykowanych do walki z ransomware jest bardzo dużo. Prawdę powiedziawszy, ciężko nawet zrozumieć, które rozwiązanie co robi. Aby uprościć całą sytuację, postaramy się podzielić je, w zależności od tego na jakim etapie ataku są one skuteczne. Kompleksowa ochrona wymaga zastosowania ochrony na każdym etapie ataku.
Cel nr 1: Powstrzymać ransomware przed dostarczeniem
Rozwiązania, które mogą pomóc na tym etapie, to:
- Ochrona styku sieci (firewalle, UTM, filtry email i antyspamowe)
- Szkolenia użytkowników
- Ochrona przed exploitami (systemy zarzÄ…dzania poprawkami, AD Blockery itd.)
Oczywiście cześć zagrożeń może pokonać pierwszą linię obrony. Wynika to z faktu, że użytkownicy są tylko ludźmi i, nawet nie wiadomo jak często szkoleni, klikną od czasu do czasu w coś w co nie powinni. Dlatego kolejna linia obrony ma na celu powstrzymanie ransomware od wykonania.
Cel nr 2: Nie dopuścić do uruchomienia
Narzędzia przydatne na tym etapie to:
- oprogramowanie antywirusowe
- rozwiÄ…zania typu “sandboxing”
- inne rozwiązania, takie jak białe listy aplikacji (np. AppLocker w Windows 10), rozwiązania blokujące wykonaie aplikacji oparte o GPO, blokowanie makr MS Office itd.
Cel nr 3: Powstrzymać uruchomiony kod od spowodowania szkód
Zablokowanie kodu po uruchomieniu jest ostatnią deską ratunku przed infekcją. Przykład konfiguracji ochrony na tym etapie (z wykorzystaniem rozwiązań firmy ESET) opiszemy w jednym z najbliższych artykułów.
Następne dwa punkty dotyczą działań, które należy podjąć w momencie gdy dojdzie już do infekcji.
Cel nr 4: Powstrzymać epidemię ransomware
Na tym etapie komputer został zainfekowany. Naszym celem jest teraz zablokowanie możliwości rozsyłania się zagrożenia na kolejne komputery w sieci firmowej. Przykładowe rozwiązania to:
- System zarzÄ…dzania incydentami
- oprogramowanie monitorujące sieć firmową
- wyłączanie uprawnień administracyjnych, o ile to tylko możliwe, itd.
Cel nr 5: Przywrócenie systemu do działania bez płacenia okupu
Ostatnie zadanie, które nam pozostało, to odzyskanie dostępu od zainfekowanego systemu / danych.
- Przywrócenie systemu z kopii zapasowej
- narzędzia deszyfrujące
- oprogramowanie usuwające zagrożenia
W ostatniej części naszego cyklu na temat ransomware omówimy bardziej szczegółowo metodologię postępowania po infekcji.