Jak chronić komputer przed oprogramowaniem ransomware szyfrującym pliki?
Chroń swoje życie cyfrowe
Poza ochroną przed wirusami i zagrożeniami, Kaspersky Internet Security oferuje ochronę dzieci (wersja angielska) przed zagrożeniami online i zabezpiecza połączenie internetowe (wersja angielska), strumień kamery internetowej (wersja angielska), płatności online (wersja angielska). Dodatkowo umożliwia blokowanie banerów reklamowych (wersja angielska) i gromadzenia danych (wersja angielska) i pomaga w odpowiednim momencie aktualizować Twoje oprogramowanie oraz usuwać nieużywane aplikacje (wersja angielska).
Ransomware to rodzaj szkodliwego oprogramowania szyfrującego pliki, które szyfruje Twoje pliki, a następnie żąda okupu za ich odszyfrowanie. Niektóre programy szyfrują pliki bez żądania okupu.
Zalecenia w zakresie zmniejszania ryzyka infekcji ransomware
Zainstaluj rozwiązanie zabezpieczające
Aplikacje Kaspersky z najnowszymi bazami danych zablokują atak i zapobiegną zainstalowaniu szkodliwego oprogramowania na Twoim komputerze. Najnowsze wersje aplikacji Kaspersky zawierają komponent System Watcher, który automatycznie tworzy kopie zapasowe plików, jeśli podejrzany program spróbuje uzyskać do nich dostęp.
Zainstaluj aktualizacje
Aktualizuj swoje oprogramowanie, systemy operacyjne i aplikacje Kaspersky, a zwłaszcza regularnie sprawdzaj poprawki, które naprawiają luki w zabezpieczeniach. Zaktualizowane oprogramowanie będzie działać na najnowszej poprawce, co ograniczy możliwości atakujących.
Aktualizacje są głównym sposobem poprawy bezpieczeństwa, stabilności i wydajności systemów, usuwają luki w zabezpieczeniach i uniemożliwiają atakującym ich wykorzystanie.
Oprogramowanie, które koniecznie trzeba zaktualizować:
- poprawki systemu operacyjnego;
- wtyczki przeglądarki, takie jak Flash, Silverlight itp.;
- aplikacje VPN, które zapewniają dostęp zdalnym pracownikom i służą jako bramka do Twojej sieci.
Włącz wszystkie komponenty zabezpieczeń w ramach aplikacji Kaspersky
Wszystkie komponenty aplikacji Kaspersky mają na celu maksymalną możliwą ochronę urządzeń i zmniejszenie ryzyka infekcji ransomware. Upewnij się, że następujące z nich są włączone:
- Ochrona przed zagrożeniami dla plików
- Ochrona przeglądarki przed zagrożeniami
- Ochrona poczty przed zagrożeniami
- Wykrywanie zachowań
- Ochrona przed exploitami
- Ochrona AMSI
- Silnik korygujący
- Ochrona przed włamaniami
- Kaspersky Security Network
Regularnie twórz kopie zapasowe swoich plików w chmurze lub na dysku zewnętrznym
Zalecamy regularne wykonywanie kopii zapasowej i przywracania. Nawet w przypadku udanego ataku ransomware lub ataku szyfrującego można odzyskać pliki danych z kopii zapasowej, co zmniejszy szkodliwe skutki ataku. Aby chronić swoje pliki, twórz kopie zapasowe i przechowuj je w chmurze lub na dysku wymiennym.
Nie otwieraj załączników z wiadomości e-mail od nieznanych nadawców
Ransomware często rozprzestrzenia się za pośrednictwem załączników wiadomości e-mail. Celem cyberprzestępców jest nakłonienie Cię do otwarcia załącznika, dlatego tytułują e-maile tak, jakby zawierały ważne informacje, takie jak nakaz sądowy, zawiadomienie o zamiarze wszczęcia postępowania, zawiadomienie o opłacie za opóźnienie lub podobne. Zawsze sprawdzaj adres nadawcy przed otwarciem wiadomości e-mail lub załączników.
Używaj silnych haseł do kont Windows do zdalnego połączenia
Słabe hasła można łatwo odgadnąć lub złamać, co może skutkować uzyskaniem przez atakujących dostępu do wrażliwych danych. Aby chronić swoje dane osobowe i konta przed włamaniem podczas połączenia zdalnego, używaj silnych haseł. Instrukcje znajdziesz w tym artykule.
Jeśli korzystasz z sieci publicznej, osoby atakujące mogą skorzystać z funkcji Pulpitu zdalnego, aby uzyskać dostęp do Twoich urządzeń. Łącz się z Pulpitem zdalnym tylko przez sieć domową lub firmową. Więcej informacji na temat funkcji Pulpitu zdalnego możesz znaleźć w witrynie pomocy technicznej firmy Microsoft.
Chroń udostępniane foldery
Atakujący mogą używać udostępnionych folderów do szyfrowania plików, rozprzestrzeniania złośliwego oprogramowania i przenoszenia go w sieci Twojej organizacji. Kaspersky Endpoint Security for Windows chroni udostępnione foldery przed szyfrowaniem i może pomóc w ustawieniu silnych haseł.
Użyj rozwiązania Kaspersky Endpoint Detection and Response (KEDR) lub Kaspersky Managed Detection and Response (MDR)
Rozwiązania KEDR i MDR wykryją atak z wyprzedzeniem i zapobiegną mu. Korzystając z nich, możesz identyfikować i monitorować podejrzane sygnały.
Chroń konta administratorów
Upewnij się, że konta administratorów są chronione silnymi hasłami, które to są regularnie zmieniane (na przykład co 3 miesiące). Jeśli to możliwe, stosuj weryfikację dwuetapową, aby zminimalizować ryzyko przejęcia przez atakujących kontroli nad siecią w przypadku, gdy uda im się uzyskać dostęp do danych uwierzytelniających użytkownika.
Monitoruj podejrzaną aktywność
Regularnie sprawdzaj dzienniki zdarzeń i dane operacyjne pod kątem podejrzanej aktywności. Monitoruj ruch poprzeczny w sieci i zwracaj uwagę na ruch wychodzący, ponieważ osoba atakująca zwykle potrzebuje połączenia z sieciami zewnętrznymi lub zewnętrznymi narzędziami do kradzieży danych.
Zachowaj ostrożność podczas korzystania z rozwiązania PowerShell
Rozwiązanie PowerShell jest często wykorzystywane do ataków na urządzenia z systemem Windows. Oprogramowanie ransomware i zagrożenia bezplikowe również wykorzystują PowerShell do ataków.
Ogranicz wykonywanie skryptów PowerShell. Wyłącz wykonywanie nieprzypisanych skryptów PowerShell za pomocą zasad. Włącz wykonywanie skryptów PowerShell tylko dla kont, które tego potrzebują. Nie zmieniaj polityki ograniczeń PowerShell (Set-ExecutionPolicy). Na urządzeniach chronionych przez rozwiązanie Kaspersky Endpoint Security for Windows włącz komponent Adaptive Anomaly Control (Adaptacyjna kontrola anomalii) i przełącz regułę Activity of Script Engine and Framework (Aktywność silnika skryptów i struktur) w tryb blokady.
Skonfiguruj zasady
Skonfiguruj zasady, aby zminimalizować ilość informacji sieciowych dostępnych dla użytkowników, których konta mogą zostać przejęte. Informacje sieciowe powinny być ograniczone, ponieważ osoby atakujące mogą je odzyskać z naruszonego urządzenia. Nawet jeśli atakującemu udało się włamać na konto lub komputer, opisany powyżej krok zawęzi jego dalsze możliwości i zapobiegnie eskalacji uprawnień administratora lub innych urządzeń, co spowoduje zmniejszenie skali ataku.
Użyj IDS i IPS do wykrywania skanowania sieci i zapobiegania mu
Pierwszym krokiem ataku ukierunkowanego jest zebranie informacji. Skanowanie sieci dostarcza atakującym kluczowych informacji, takich jak otwarte porty, aktywne systemy operacyjne i oprogramowanie oraz stan urządzeń sieciowych. Zapobieganie skanowaniu sieci uniemożliwi atakującym zebranie ważnych informacji i utrudni przeprowadzenie ataku.
Szkol swoich pracowników i zwiększaj ich świadomość
- Zachowaj ostrożność z załącznikami wiadomości e-mail i sprawdzaj niezaufane adresy. Upewnij się, że komponent Mail Threat Protection (Ochrona poczty przed zagrożeniami) jest włączony w Kaspersky Endpoint Security for Windows. Komponent ten skanuje i chroni komputery przed złośliwymi załącznikami.
- Uważaj na dziwne linki wysyłane w wiadomościach e-mail lub z innych platform komunikacyjnych. Nawet jeśli link został wysłany przez kogoś, kogo znasz, mógł zostać zhakowany.
- Dowiedz się, jak rozpoznawać złośliwe linki i pliki, wykrywać oznaki podejrzanej aktywności na urządzeniach i kontach, używać silnych haseł i weryfikacji dwuetapowej, regularnie aktualizować osobisty system operacyjny i oprogramowanie oraz wylogowywać się z systemów, gdy nie wymagają już dostępu.
Firma Kaspersky oferuje specjalistyczny kurs cyberbezpieczeństwa na platformie Automated Security Awareness Platform. Platforma ta dostarcza wiedzy i buduje umiejętności i praktyki w zakresie cyberbezpieczeństwa.
Zalecenia dotyczące konfiguracji ustawień systemu
Utwórz punkty przywracania systemu oraz kopie zapasowe plików
Regularnie twórz punkty przywracania systemu oraz kopie zapasowe ważnych plików na nośniku wymiennym. To umożliwia przywrócenie systemu operacyjnego do stanu sprzed infekcji i szybkie odzyskanie plików w przypadku infekcji lub problemów z systemem.
Więcej informacji o funkcji kopii zapasowej i przywracania znajdziesz na stronie internetowej pomocy technicznej firmy Microsoft.
Zablokuj zdalne połączenie z komputerem
W celu uniemożliwienia cyberprzestępcom zdalnego nawiązania połączenia z komputerem, zablokuj ten typ połączenia w ustawieniach komputera:
- Otwórz Szukaj i wpisz „panel sterowania”. Wybierz Panel sterowania.
- Kliknij System i zabezpieczenia, a następnie wybierz System.
- Wybierz Ochrona systemu.
- Przejdź na zakładkę Zdalny. Odznacz pole Zezwalaj na połączenia zdalne z tym komputerem i zaznacz pole Nie zezwalaj na połączenia zdalne z tym komputerem. Kliknij OK.
Zdalny dostęp do komputera zostanie zablokowany.
Zalecenia dotyczące konfiguracji aplikacji firmy Kaspersky
- Ustaw hasło dostępu do ustawień aplikacji firmy Kaspersky. Więcej informacji możesz znaleźć w dokumentacji:
- Włącz funkcję Kontrola systemu w aplikacji firmy Kaspersky.
Ta funkcja blokuje i wycofuje szkodliwe działania, wykrywa i usuwa banery oraz tworzy kopie zapasowe plików po podejrzanych próbach uzyskania dostępu. Więcej informacji dotyczących konfiguracji możesz znaleźć w dokumentacji:
Zalecenia dotyczące szyfrowania plików
Spróbuj odzyskać pliki
Możesz odzyskać pliki, korzystając ze standardowych narzędzi systemu Windows. Zapoznaj się z instrukcjami na stronie pomocy technicznej firmy Microsoft.
Wyłącz automatyczne usuwanie wykrytych szkodliwych plików
Jeśli posiadasz zainstalowaną aplikację firmy Kaspersky, otwórz ustawienia aplikacji i odznacz pole Automatycznie wykonuj zalecane działania w sekcji Ogólne.
Nie jest zalecane usuwanie zainfekowanych plików z kwarantanny, gdyż mogą zawierać klucze do odszyfrowania.
Wyślij podejrzane pliki do analizy
Wyślij zgłoszenie do działu obsługi klienta Kaspersky, wybierając temat i wypełniając formularz. Do swojego zgłoszenia dołącz zaszyfrowany plik i wiadomość e-mail.
Specjaliści z Kaspersky nie mogą zagwarantować, że uszkodzone pliki zostaną odszyfrowane.
Uruchom skanowanie i usuń szkodliwe oprogramowanie z komputera
Uruchom pełne skanowanie komputera, aby znaleźć przyczynę infekcji i ją wyeliminować. Jeśli nie masz zainstalowanego żadnego rozwiązania ochrony, użyj bezpłatnego narzędzia firmy Kaspersky: Kaspersky Security Cloud Free, Kaspersky Rescue Disk lub Kaspersky Virus Removal Tool.
Co należy zrobić, gdy na komputerze znajduje się podejrzany plik?
Jeśli znalazłeś podejrzany plik, który mógł zainfekować komputer lub zaszyfrować pliki, możesz:
- Przeskanować pliki w poszukiwaniu znanych zagrożeń na stronie OpenTIP. Jeśli to konieczne, poinformuj ekspertów z Kaspersky o błędnym wykryciu lub nowym szkodliwym programie. W tym celu:
- Na stronie z wynikami skanowania kliknij Submit to reanalyze.
- Podaj swój adres e-mail, abyśmy mogli się z nimi skontaktować.
- Kliknij Wyślij.
- Skontaktuj się z działem obsługi klienta Kaspersky,
wybierając temat i wypełniając formularz. Do swojego zgłoszenia dołącz podejrzany plik i w sekcji z opisem wpisz „prawdopodobnie ransomware”.
- Wyślij plik do analizy na adres newvirus@kaspersky.com. Aby to zrobić, dodaj podejrzany plik do archiwum ZIP lub RAR. Ustaw hasło „infected” dla archiwum i zaznacz pole Zaszyfruj nazwy plików. Informacje na ten temat można znaleźć w tym artykule.
Możliwe lokalizacje plików ransomware
- APPDATA
Windows NT/2000/XP — Dysk:\Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data
Windows Vista/7/8/10 — Dysk:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local
- TEMP (katalog tymczasowy)
%TEMP%\xxxxxxx.tmp\, gdzie x zastępuje znaki a-z lub cyfry 0-9
%TEMP%\xxxxxxx.tmp\xx\, gdzie x zastępuje znaki a-z lub cyfry 0-9
%TEMP%\xxxxxxx\, gdzie x zastępuje znaki a-z lub cyfry 0-9
%WINDIR%\Temp
- Folder plików tymczasowych Internet Explorer
Windows NT/2000/XP — %USERPROFILE%\Local Settings\Temporary Internet Files\
Windows Vista/7/8/10 — %LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\xxxxxxxx, gdzie x zastępuje znaki a-z lub cyfry 0-9
- Desktop
%UserProfile%\Desktop\
- Kosz
Disk:\Recycler\
Disk:\$Recycle.Bin\
Disk:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (gdzie ? zastępuje cyfry 0-9)
- Katalog systemowy
%WinDir%
%SystemRoot%\system32\
- Folder dokumentów użytkownika
%USERPROFILE%\My Documents\
%USERPROFILE%\My Documents\Downloads
- Folder przeglądarki z pobranymi obiektami
%USERPROFILE%\Downloads
- Folder uruchamiania
%USERPROFILE%\Start Menu\Programs\Startup