Schutz vor Ransomware in Kaspersky Endpoint Security 10 für Windows
Um die Wahrscheinlichkeit von Infektion durch Ransomware zu verringern, empfehlen wir, die folgenden Schutzkomponenten zu aktivieren:
- Aktivitätsmonitor und BSS. Der Aktivitätsmonitor analysiert die Aktivität von Programmen und BSS analysiert ihr Verhalten.
- Aktivitätskontrolle für Programme Aktivitätskontrolle für Programme. Die Komponente erhöht die Stufe der Untersuchung verdächtiger Dateien und steigert die Wahrscheinlichkeit der Erkennung schädlicher Programme.
- Kaspersky Security Network
Lokale Einstellungen
-
Öffnen Sie Kaspersky Endpoint Security 10 für Windows.
-
Auf der Registerkarte Einstellungen wählen Sie den Punkt Arbeitsplatz-Überwachung → Aktivitätskontrolle für Programme und klicken Sie auf Ressourcen.
-
Markieren Sie den Ordner Persönliche Daten, klicken Sie auf Hinzufügen und wählen Sie den Punkt Kategorie.
-
Erstellen Sie die Kategorie Zu schützende Dateitypen und dann erstellen Sie darin mehrere Kategorien (z. B. Dokumente, Bilder usw.).
-
Legen Sie eine passende Kategorie für den geschützten Dateityp fest (z. B. Dateien mit der DOC-Erweiterung passen zur Kategorie Dokumente), klicken Sie auf Hinzufügen und wählen Sie den Punkt Datei oder Ordner. Statt des Pfades geben Sie die Maske des Dateityps: *.<Erweiterung> an.
-
Fügen Sie auf die gleiche Weise die weiteren Dateitypen hinzu.
-
Legen Sie für die Kategorie Zu schützende Dateitypen die Zugriffsregeln für Programme aus den Gruppen mit starken und schwachen Beschränkungen fest, indem Sie Schreiben, Löschen und Erstellen verbieten. Stellen Sie sicher, dass sich die erforderlichen Programme in der Vertrauenswürdigen Gruppe befinden.
Wenn ein Browser in der Gruppe mit starken oder schwachen Beschränkungen war, können die zu schützenden Dateien nicht heruntergeladen werden.
Fernkonfiguration über das Kaspersky Security Center 10
-
Öffnen Sie die Administrationskonsole, wechseln Sie zum Knoten Verwaltete Geräte, wählen Sie die Registerkarte Richtlinien.
-
Öffnen Sie die aktive Richtlinie für Kaspersky Endpoint Security, wählen Sie den Punkt Arbeitsplatz-Überwachung → Aktivitätskontrolle für Programme und klicken Sie auf Einstellungen.
-
Markieren Sie den Ordner Persönliche Daten, klicken Sie auf Hinzufügen und wählen Sie den Punkt Kategorie.
-
Erstellen Sie mehrere Kategorien (z. B. Dokumente, Bilder usw.).
-
Legen Sie eine passende Kategorie für den geschützten Dateityp fest (z. B. Dateien mit der .doc-Erweiterung passen zur Kategorie Dokumente), klicken Sie auf Hinzufügen und wählen Sie den Punkt Datei oder Ordner. Statt des Pfades geben Sie die Maske des Dateityps an: *.<Erweiterung>
- Fügen Sie auf die gleiche Weise die weiteren Dateitypen hinzu.
- Legen Sie für die Kategorie Zu schützende Dateitypen die Zugriffsregeln für Programme aus den Gruppen mit starken und schwachen Beschränkungen fest, indem Sie Schreiben, Löschen und Erstellen verbieten. Deaktivieren Sie die Option Protokollieren.
Stellen Sie sicher, dass sich die erforderlichen Programme in der Vertrauenswürdigen Gruppe befinden.
- Wechseln Sie zum Abschnitt Ereignisbenachrichtigung → Infomeldung. Öffnen Sie die Eigenschaften der Meldung Die Regel zur Aktivitätskontrolle für Programme wurde ausgelöst.
- Aktivieren Sie das Kontrollkästchen Auf dem Administrationsserver für (Tage). Bei Bedarf richten die Benachrichtigung per E-Mail oder SMS ein.
Auf dem Server können viele Ereignisse registriert werden. Wenn die Datenbank des Kaspersky Security Center überfüllt ist, werden veraltete Ereignisse gelöscht.
Nachdem Sie diese Einstellungen angepasst haben, können Sie den Start der angegebenen Dateien kontrollieren. Wenn eine dieser Dateien auf einem verwalteten Computer ausgeführt wird, wird ein entsprechendes Ereignis im Kaspersky Security Center registriert.
-
Speichern Sie die Richtlinie.
Vor der Installation von Patches für Produkte von Kaspersky Lab müssen die ursprünglichen Einstellungen vorübergehend wiederhergestellt werden.
Um alle Funktionalitäten des Tools zur Remote-Diagnose des Kaspersky Security Center nutzen zu können, setzen die Einstellungen zurück oder deaktivieren Sie die Komponente Aktivitätskontrolle für Programme.
Wenn ein Browser in der Gruppe mit starken oder schwachen Beschränkungen war, können die zu schützenden Dateien nicht heruntergeladen werden.
Dateitypen
Dateitypen, die am häufigsten von Lösegeld-Trojanern verschlüsselt werden:
| Dateityp | Erweiterung |
|---|---|
|
Dokumente |
.doc .docx .pdf |
|
.xls .xlsx |
|
|
.ppt .pptx .rtf |
|
|
.odt .odp .ods |
|
|
.djvu |
|
|
Bilder |
.jpg .jpeg .bmp |
|
.gif .png .psd |
|
|
.cdr .dwg .max |
|
|
.3ds |
|
|
Archive |
.rar .zip .7z |
|
.tar .gz |
|
|
Multimedia |
.avi .mp3 .wav |
|
.mkv .flac .mp4 |
|
|
.mov .wmv |
|
|
Datenbanken |
.mdb .1cd .sqlite |
|
.sql |
|
|
Sonstiges |
.kwm .iso .torrent |
|
.php .c .cpp |
|
|
.pas .cer .key |
|
|
.pst .lnk |
|
schädliche Dateien zur Analyse senden
Wenn Sie eine schädliche Datei entdeckt haben, deren Ausführung die Infektion des Computers und die Verschlüsselung von Dateien verursachen konnte, können Sie eine Anfrage an den Support senden. Hängen Sie Ihrer Anfrage die verdächtige Datei an und fügen Sie den Kommentar „vermutliche Ransomware“ hinzu. Dateien, die bei Desinfektion gelöscht wurden, sind im Backup zu finden:
- Öffnen Sie Kaspersky Endpoint Security 10 für Windows.
- Wechseln Sie zu Quarantäne und dann auf die Registerkarte Backup.
