Schutz vor Ransomware in Kaspersky Endpoint Security für Windows
Der Artikel bezieht sich auf folgende Anwendungsversionen:
- Kaspersky Endpoint Security 12.5 für Windows (Version 12.5.0.539)
- Kaspersky Endpoint Security 12.4 für Windows (Version 12.4.0.467)
- Kaspersky Endpoint Security 12.3 für Windows (Version 12.3.0.493)
- Kaspersky Endpoint Security 12.2 für Windows (Version 12.2.0.462)
- Kaspersky Endpoint Security 12.1 für Windows (Version 12.1.0.506)
- Kaspersky Endpoint Security 12.0 für Windows (Version 12.0.0.465)
- Kaspersky Endpoint Security 11.11 für Windows (Version 11.11.0.452)
- Kaspersky Endpoint Security 11.10 für Windows (Version 11.10.0.399)
- Kaspersky Endpoint Security 11.9 für Windows (Version 11.9.0.351)
- Kaspersky Endpoint Security 11.8 für Windows (Version 11.8.0.384)
- Kaspersky Endpoint Security 11.7 für Windows (Version 11.7.0.669)
Um die Wahrscheinlichkeit von Infektion durch Ransomware zu verringern, empfehlen wir die folgenden Schutzkomponenten zu aktivieren:
- Verhaltensanalyse
- Rollback von schädlichen Aktionen
- Exploit-Prävention
- Programm-Überwachung
- Kaspersky Security Network
Mithilfe der im Artikel beschriebenen Methode können Objekte in Netzwerkspeichern nicht geschützt werden. Unabhängig vom Format, in dem der Speicherort einer solchen Datei angegeben ist (Netzlaufwerk oder UNC), kann sie nicht geschützt werden. Zum Schutz von Dateien in Netzwerkspeichern nutzen Sie spezielle Lösungen wie z. B. Kaspersky Security für Windows Server.
So stellen Sie den Schutz vor Ransomware lokal in Kaspersky Endpoint Security 11.7.0 – 12.1.0 für Windows ein
Prüfen Sie, dass die Komponenten „Verhaltensanalyse“, „Exploit-Prävention“ und „Rollback von schädlichen Aktionen“ in den App-Einstellungen aktiviert sind.
- Öffnen Sie Kaspersky Endpoint Security für Windows.
- Aktivieren Sie die Komponente „Programm-Überwachung“. Die Anleitung ist in der Onlinehilfe.
- Klicken Sie auf Ressourcen verwalten im Fenster der Einstellungen für die Komponente „Programm-Überwachung“.
- Wählen Sie Persönliche Daten und klicken Sie auf Hinzufügen → Kategorie.
- Geben Sie einen Namen z. B. „Zu schützende Dateitypen“ an. Klicken Sie auf Hinzufügen.
- Wählen Sie die Kategorie Zu schützende Dateitypen und erstellen Sie untergeordnete Kategorien z. B. „Dokumente“, „Bilder“ etc. Dazu wiederholen Sie Schritte 4 – 5.
- Wählen Sie eine passende Kategorie für jeden zu schützenden Dateityp. Z. B. für Dateien mit der Erweiterung DOC oder DOCX wählen Sie die Kategorie Dokumente und klicken Sie auf Hinzufügen → Datei oder Ordner.
- Füllen Sie das Feld Name aus, geben Sie eine Maske für den Dateityp im Format *.<Erweiterung> im Feld Pfad ein. Klicken Sie auf Hinzufügen.
- Fügen Sie weitere Dateitypen hinzu. Dazu wiederholen Sie Schritte 7 – 8.
- Passen Sie die Zugriffsregeln für Programme aus Gruppen mit starken und schwachen Beschränkungen an. Gehen Sie dazu wie folgt vor:
- Wählen Sie die Kategorie Zu schützende Dateitypen.
- Für die Abschnitte „Schwach beschränkt“ und „Stark beschränkt“ verbieten Sie das Schreiben, Erstellen und Löschen und klicken Sie auf Protokollieren.
- Prüfen Sie, dass alle erforderlichen Programme zur vertrauenswürdigen Gruppe gehören. Klicken Sie auf Speichern.
Die Komponente „Programm-Überwachung“ wird für den Schutz vor Ransomware angepasst.
Bevor Sie Patches für Kaspersky-Programme installieren, setzen Sie vorübergehend die Einstellungen zurück. Wenn der Browser zur Gruppe mit starken oder schwachen Beschränkungen gehört, können geschützte Dateien nicht heruntergeladen werden.
So stellen Sie den Schutz vor Ransomware lokal in Kaspersky Endpoint Security 11.5.0 – 11.6.0 für Windows ein
Prüfen Sie, dass die Komponenten „Verhaltensanalyse“, „Exploit-Prävention“ und „Rollback von schädlichen Aktionen“ in den Programmeinstellungen aktiviert sind.
- Öffnen Sie Kaspersky Endpoint Security 11 für Windows.
- Aktivieren Sie die Komponente „Programm-Überwachung“. Die Anleitung ist in der Onlinehilfe.
- Klicken Sie auf Ressourcen verwalten im Fenster der Einstellungen für die Komponente „Programm-Überwachung“.
- Wählen Sie Persönliche Daten und klicken Sie auf Hinzufügen → Kategorie.
- Geben Sie einen Namen z. B. „Zu schützende Dateitypen“ an. Klicken Sie auf Hinzufügen.
- Wählen Sie die Kategorie Zu schützende Dateitypen und erstellen Sie untergeordnete Kategorien z. B. „Dokumente“, „Bilder“ etc. Dazu wiederholen Sie Schritte 4 – 5.
- Wählen Sie eine passende Kategorie für jeden zu schützenden Dateityp. Z. B. für Dateien mit der Erweiterung DOC oder DOCX wählen Sie die Kategorie Dokumente und klicken Sie auf Hinzufügen → Datei oder Ordner.
- Füllen Sie das Feld Name aus, geben Sie eine Maske für den Dateityp im Format *.<Erweiterung> im Feld Pfad ein. Klicken Sie auf Hinzufügen.
- Fügen Sie weitere Dateitypen hinzu. Dazu wiederholen Sie Schritte 7 – 8.
- Passen Sie die Zugriffsregeln für Programme aus Gruppen mit starken und schwachen Beschränkungen an. Gehen Sie dazu wie folgt vor:
- Wählen Sie die Kategorie Zu schützende Dateitypen.
- Für die Abschnitte „Schwach beschränkt“ und „Stark beschränkt“ verbieten Sie das Schreiben, Erstellen und Löschen und klicken Sie auf Protokollieren.
- Prüfen Sie, dass alle erforderlichen Programme zur vertrauenswürdigen Gruppe gehören. Klicken Sie auf Speichern.
Die Komponente „Programm-Überwachung“ wird für den Schutz vor Ransomware angepasst.
Bevor Sie Patches für Kaspersky-Programme installieren, setzen Sie vorübergehend die Einstellungen zurück. Wenn der Browser zur Gruppe mit starken oder schwachen Beschränkungen gehört, können geschützte Dateien nicht heruntergeladen werden.
So stellen Sie den Schutz vor Ransomware per Remotezugriff ein
Prüfen Sie, dass die Komponenten „Verhaltensanalyse“, „Exploit-Prävention“ und „Rollback von schädlichen Aktionen“ in den Programmeinstellungen aktiviert sind.
- Öffnen Sie das Kaspersky Security Center.
- Gehen Sie auf Verwaltete Geräte → Richtlinien und öffnen Sie die Eigenschaften der Richtlinie für Kaspersky Endpoint Security für Windows.
- Gehen Sie auf Erweiterter Schutz → Programm-Überwachung und klicken Sie auf Einstellungen.
- Wählen Sie Persönliche Daten und klicken Sie auf Hinzufügen → Kategorie.
- Geben Sie einen Namen z. B. „Zu schützende Dateitypen“ an. Klicken Sie auf OK.
- Wählen Sie die Kategorie Zu schützende Dateitypen und erstellen Sie untergeordnete Kategorien z. B. „Dokumente“, „Bilder“. Dazu wiederholen Sie Schritte 4 – 5.
- Wählen Sie eine passende Kategorie für jeden zu schützenden Dateityp. Z. B. für Dateien mit der Erweiterung DOC oder DOCX wählen Sie die Kategorie Dokumente und klicken Sie auf Hinzufügen → Datei oder Ordner.
- Füllen Sie das Feld Name aus, klicken Sie auf Durchsuchen und geben Sie eine Maske für den Dateityp im folgenden Format an: *.<Erweiterung>. Klicken Sie auf OK → OK.
- Fügen Sie weitere Dateitypen hinzu. Dazu wiederholen Sie Schritte 7 – 8.
- Passen Sie die Zugriffsregeln für Programme aus Gruppen mit starken und schwachen Beschränkungen an. Dazu wählen Sie die Kategorie Zu schützende Dateitypen, verbieten Sie das Schrieben, Löschen und Erstellen und klicken Sie auf Protokollieren.
- Prüfen Sie, dass die Programme in der vertrauenswürdigen Gruppe sind. Klicken Sie auf OK → Übernehmen.
- Gehen Sie auf Konfiguration von Ereignissen → Information, wählen Sie die Nachricht Die Komponente Programm-Überwachung wurde ausgelöst und öffnen Sie ihre Eigenschaften.
- Aktivieren Sie das Kontrollkästchen In der Administrationsserver-Datenbank speichern für (Tage). Bei Bedarf passen Sie das Senden von Benachrichtigungen über Ereignisse per E-Mail an. Klicken Sie auf OK.
Die Komponente „Programm-Überwachung“ wird für den Schutz vor Ransomware angepasst. Wenn eine schädliche Datei auf dem Client-Computer ausgeführt wird, wird das Ereignis im Kaspersky Security Center registriert. Um Ereignisse zu verfolgen, wechseln Sie zu Administrationsserver → Ereignisse.
Wenn viele Ereignisse auf dem Server registriert werden, werden veraltete Ereignisse gelöscht.
Bevor Sie Patches für Kaspersky-Programme installieren, setzen Sie vorübergehend die Einstellungen zurück. Wenn der Browser zur Gruppe mit starken oder schwachen Beschränkungen gehört, können geschützte Dateien nicht heruntergeladen werden.
Um alle Funktionen des Tools zur Remote-Diagnose des Kaspersky Security Center nutzen zu können, setzen Sie die Einstellungen zurück und deaktivieren Sie die Komponente „Programm-Überwachung“.
Dateitypen, die von Ransomware verschlüsselt werden können
Dateityp | Erweiterung |
---|---|
Dokumente |
DOC, DOCX, PDF |
XLS, XLSX |
|
PPT, PPTX, RTF |
|
ODT, ODP, ODS |
|
DJVU |
|
Bilder |
JPG, JPEG, BMP |
GIF, PNG, PSD |
|
CDR, DWG, MAX |
|
3DS |
|
Archive |
RAR, ZIP, 7Z |
TAR, GZ |
|
Multimedia |
AVI, MP3, WAV |
MKV, FLAC, MP4 |
|
MOV, WMV |
|
Datenbanken |
MDB, 1CD, SQLITE |
SQL |
|
Sonstiges |
KWM, ISO, TORRENT |
PHP, C, CPP |
|
PAS, CER, KEY |
|
PST, LNK |
Schädliche Dateien zur Analyse senden
Wenn Sie eine verdächtige Datei gefunden haben und vermuten, dass ihre Ausführung eine Infektion des Computers und Verschlüsselung von Dateien verursachen kann, senden Sie eine Anfrage an den technischen Support via Kaspersky CompanyAccount. Hängen Sie die verdächtige Datei an und fügen Sie den Kommentar „vermutliche Ransomware“ hinzu.
So finden Sie die bei der Desinfektion gelöschten Dateien:
- Wenn Sie Kaspersky Endpoint Security 11.7.0 – 12.1.0 für Windows nutzen, klicken Sie im Hauptfenster des Programms auf Backup.
- Wenn Sie Kaspersky Endpoint Security 11.5.0–11.6.0 für Windows nutzen, klicken Sie im Hauptfenster des Programms auf Weitere Funktionen → Backup.