Криптовируси – какво трябва да знаем и правим?
ESET предлага на вашето внимание няколко съвета, с които да защитите вас и вшата компания от криптовируси.
1.Правете регулярни резервни копия на информацията
Най-добрата тактика за победа срещу ransomware още, преди да е достигнал до устройствата на компанията ви, е поддържането на регулярно ъпдейтвани резервни копия на информацията. И помнете, че криптовирусите могат (и най-вероятно ще) криптират информацията дори и на мрежови устройства, които са добавени като drive на засегнатите компютри. Както и на мрежови и cloud сторидж – и дори на USB памети и дискове. Още по темата.
Поддържайте редовно ъпдейтвани резервни копия на данните си – по възможност на офлайн устройство, създадено специално за тази цел.
2.Ъпдейтвайте всеки софтуер – не само антивирусния
Авторите на зловредни кодове често разчитат на факта, че потребителите работят с остарели версии на различни софтуерни продукти. Версии, в които има добре известни уязвимости, които могат да бъдат използвани за незабележим достъп до системата. Компанията ви може намали значително опасността от зараза с ransomware, ако има практика да ъпдейтва редовно софтуера, инсталиран на различни устройства.
Някои производители на софтуер
публикуват ъпдейти редовно, но често се срещат и такива, които са извън всякакви графици – а обикновено те са най-критичните. Включете автоматичните ъпдейти, ако можете – или следете уеб сайта на производителя.
3.Обърнете внимание на обучението на служителите си
Един от най-честите вектори на атака от криптовируси е социалното инженерство – или заблуждаването на служителите ви и прилъгването им да стартират заразени файлове. Най-често това става чрез изпращането на мними мейли, твърдящи, че съдържат документ за проследяване на пратка, неплатена фактура и др. За да не станат жертва на подобен трик, служителите ви трябва да бъдат обучени да не отварят непознати или подозрителни мейли – и приложените в тях файлове или линкове.
4.Показвайте разширенията на всички файлове
Ransomware обикновено идва под формата на приложен файл с разширение като “.PDF.EXE”. И разчита на факта, че Windows по подразбиране на показва разширенията на познатите типове файлове.
5.Филтрирайте executable прикачени файлове в мейли
Ако вашият Gateway Mail Scanner позволява филтрирането на файлове по разширението им, е добра идея да блокирате всички мейли, съдържащи “.EXE” файлове – и мейли, съдържащи две или повече разширения, завършващи с .EXE (например, филтър “*.*.EXE”). Препоръчваме филтрирането и на файлове със следните разширения: *.BAT, *.CMD, *.SCR and *.JS.
6.Забранете стартирането на файлове от директориите AppData/LocalAppData
Забележима характеристика на голяма част от ransomware вирусите е фактът, че се стартират от директориите AppData или Local AppData. Windows позволява създаването на правила, които забраняват подобно поведение. Такива правила могат да бъдат създадени и със софтуер за защита от проникване. Ако използвате софтуер, който по някаква причина се стартира от AppData вместо от стандартната директория Program Files, може той да бъде изключен от това правило, за да работи нормално.
7.Внимавайте за споделените директории
Не забравяйте, че веднъж попаднал в една система, ransomware може да се опита да криптира файловете и в споделените директории, до които компютърът има достъп. Затова, всеки един служител трябва внимателно да преценят коя информация съхранява на споделени дискове. Защото тази информация може да се окаже криптирана, дори и служителят да не е заразен пряко с криптовирус.
8.Забранете RDP
Ransomware често използва Remote Desktop Protocol (RDP) за достъп до заразените машини. Това е Windows инструмент, който позволява отдалечен достъп до компютър. Кибер-престъпниците също използват този метод за достъп, за да спират действието на различни видове софтуер за защита. Добра практика е забраняването на RDP – освен, ако не е абсолютно необходим. Инструкции как да стане това може да намерите в Microsoft Knowledge Base.
9.Използвайте доказано решение за сигурност
Авторите на зловредни кодове често създават нови и нови варианти на вирусите с което се опитват да избегнат засичането им. Затова е важно да имате няколко нива на защита. Дори и, след като бъде инсталиран в системата, вирусът разчита на дистанционни инструкции, за да извърши зловредната си дейност. Ако попаднете на много, много нов вариант на
ransomware, който успее да преодолее защитния ви софтуер, той може все пак да бъде уловен при опит да се свърже с командния си сървър, за да получи инструкции как да криптира файловете. Новото поколение решения за защита на бизнеса на ESET идва с подобрена Система за защита срещу ботмрежи (Botnet Protection), която блокира опити за подобна комуникация.
10.Използвайте System Restore
Ако използвате System Restore на заразен Windows компютър, има възможност да върнете системата в състоянието ѝ отпреди инфекцията – и дори да възстановите част от засегнатите файлове от техни shadow копия. За да стане това, обаче, трябва да действате бързо.
Причината, е че по-новите варианти ransomware могат да изтриват тези shadow копия от System Restore. Този тип зловредни кодове ще започнат с изтриването веднага щом бъдат стартирани – а вие може дори да не разберете, че нещо се случва, тъй като .EXE файловете могат да бъдат стартирани без знанието на оператора, като част от работата на Windows.
11.Използвайте стандартен – а не администраторски акаунт
Използването на акаунт със права на администратор на системата винаги крие риск за сигурността. Причината – с такъв акаунт зловредният код може да стартира с права за инсталирането си – и лесно да зарази системата.
Направете така, че потребителите да имат ограничени права за акаунтите си при изпълняването на ежедневните си задачи – и използват администраторски акаунт само при крайна необходимост. Не забранявайте
User Access Control.
От екипа на ЛИП Трейд ООД § CENTIO Professional IT Security