Alarm ransomware! Wykonaj następujące kroki, aby zabezpieczyć system przed trwającym atakiem ransomware

Quick Heal wykrył trwający atak ransomware . Ten artykuł opisuje krok po kroku, co należy zrobić, by uchronić swój komputer przed tym zagrożeniem.

Co zrobić, by nie dopuścić do ataku?

  1. Upewnij się, że wszystkie poziomy ochrony w twoim produkcie Quick Heal są WŁĄCZONE.
  2. Wyłącz protokół pulpitu zdalnego (RDP), jeśli go nie używasz. Instrukcje, jak to zrobić znajdują się na końcu tego artykułu.
  3. Zmień port RDP na niestandardowy.
  4. Skonfiguruj swojego Firewalla w następujący sposób:
    1. Odmów dostępu publicznym adresom IP do ważnych portów (w tym przypadku do portu RDP 3389).
    2. Zezwalaj na dostęp tylko adresom IP, nad którymi masz kontrolę.
  5. Użyj VPN, aby uzyskać dostęp do sieci, zamiast udostępniać RDP do Internetu.
  6. Jeśli to możliwe, zaimplementuj dwuetapowe uwierzytelnianie (2FA).
  7. Ustaw zasady blokowania, które utrudniają zgadywanie poświadczeń.
  8. Utwórz osobny folder sieciowy dla każdego użytkownika podczas zarządzania dostępem do udostępnionych folderów sieciowych.
  9. Nie udostępniaj oprogramowania w formie wykonywalnej.
  10. Nie przypisuj użytkownikom uprawnień administratora. Co najważniejsze, nie pozostawaj zalogowany jako administrator, chyba że jest to absolutnie konieczne. Należy również unikać przeglądania, otwierania dokumentów lub wykonywania innych regularnych czynności podczas pracy jako zalogowany administrator.

 

O ataku ransomware

Quick Heal wykrył niedawną epidemię ransomware, która wykorzystuje atak brute force protokołu RDP (Remote Desktop Protocol). Podejrzewamy jednak, że ten atak mógł również rozprzestrzeniać się za pomocą innych środków. Mogą to być:

  1. Wiadomości spamowe i phishingowe.
  2. Exploity.
  3. Usterki SMB takie jak EternalBlue.
  4. Drive-by-downloads
  5. Zostawienie przez inne złośliwe oprogramowanie.

Co to jest protokół zdalnego pulpitu (RDP)?

Protokół zdalnego pulpitu (z ang. Remote Desktop Protocol) służy do zdalnego łączenia się z innym komputerem za pośrednictwem sieci. Zwykle służy do zdalnego zarządzania urządzeniem. Protokół działa na porcie TCP / UDP 3389.

Co to jest atak brute force?

Atak brute force to metoda prób i błędów używana do pobierania krytycznych informacji, takich jak nazwy użytkowników, hasła lub wszelkiego rodzaju informacje umożliwiające identyfikację (PII). Ten typ ataku jest zwykle przeprowadzany za pomocą zautomatyzowanych skryptów.

Poprzez brutalne wymuszenie dostępu do RDP na komputerze ofiary, napastnicy mogą wykrywać nazwy użytkowników i hasła. Po uzyskaniu danych uwierzytelniających, atakujący kontrolują maszynę ofiary, aby przeprowadzić zamierzony atak. W większości przypadków ataki typu ransomware zostały zaobserwowane jako wynik ataku brute force protokołu Remote Desktop Protocol.

Informacje o wykrytym oprogramowaniu ransomware rozprzestrzeniającym się po ataku brute force RDP

Quick Heal zaobserwował epidemię ransomware Dharma, która wykorzystuje atak typu brute force. Wcześniej zaobserwowano, że inne oprogramowanie ransomware rozprzestrzeniło się w tym samym mechanizmie. W tym konkretnym przypadku atakujący może przejąć kontrolę nad systemem z uprawnieniami administratora. Dzięki temu może też zainstalować / odinstalować dowolny program na zainfekowanym komputerze. Tutaj zaobserwowaliśmy, że napastnicy odinstalowują oprogramowanie zabezpieczające z zainfekowanej maszyny. W ten sposób byli w stanie wszczepić na ten system ransomware.

Jak Quick Heal chroni swoich użytkowników przed takimi atakami

Produkty Quick Heal są zbudowane z następujących wielowarstwowych warstw zabezpieczeń, które pomagają przeciwdziałać takim atakom:

  1. Anty-ransomware
    Specjalnie zaprojektowany do przeciwdziałania atakom ransomware. Ta funkcja wykrywa oprogramowanie ransomware, śledząc jego sekwencję wykonywania.
  2. Firewall
    Blokuje złośliwe próby naruszenia połączeń sieciowych.
  3. IDS/IPS
    Wykrywa próby brute force RDP i blokuje zdalnie adres IP atakującego na określony czas.
  4. Ochrona przed wirusami
    Usługa antywirusowa online wykrywa znane warianty oprogramowania ransomware.
  5. System wykrywania oparty na zachowaniu
    Śledzi aktywność plików wykonywalnych i blokuje złośliwe pliki.
  6. Kopia zapasowa i przywracanie
    Pomaga regularnie tworzyć kopie zapasowe danych i przywracać je w razie potrzeby.

Ważne środki bezpieczeństwa, aby zabezpieczyć komputer przed atakami ransomware

Ważne jest zrozumienie, że tego rodzaju ataki są skierowane przeciwko ofiarom ze słabszą infrastrukturą bezpieczeństwa. To sprawia, że są krytyczne dla indywidualnych użytkowników i firm, przez co powinni wzmocnić swój obwód bezpieczeństwa i uodpornić się na takie ataki.

  1. Regularnie twórz kopie zapasowe danych
  • Regularnie twórz kopie zapasowe ważnych danych, a ostatnią kopię zapasową przechowuj w trybie offline. Zaszyfruj kopię zapasową. Jeśli komputer zostanie zainfekowany oprogramowaniem ransomware, pliki mogą zostać przywrócone z kopii zapasowej offline po usunięciu złośliwego oprogramowania.
  • Zawsze używaj kombinacji kopii zapasowej online i offline.
  • Nie przechowuj w trybie offline kopii zapasowych połączonych z systemem, ponieważ dane te mogą zostać zaszyfrowane, gdy pojawi się oprogramowanie ransomware.

2. Aktualizuj system operacyjny i inne oprogramowanie

  • Zawsze aktualizuj oprogramowanie zabezpieczające.
  • Aktualizuj swój system operacyjny i inne oprogramowanie. Aktualizacje oprogramowania często zawierają poprawki dla nowo odkrytych luk w zabezpieczeniach, które mogą zostać wykorzystane przez hakerów.
  • Stosuj poprawki i aktualizacje oprogramowania, takiego jak Microsoft Office, Java, Adobe Reader, Flash i wszystkie przeglądarki internetowe, takie jak Internet Explorer, Chrome, Firefox, Opera itp., w tym wtyczki do nich.

3. Nie pobieraj niezweryfikowanego, pirackiego oprogramowania, ponieważ może ono zostać użyte do zainstalowania złośliwego oprogramowania na twoim komputerze.

4. Unikaj pobierania oprogramowania z niezaufanych witryn P2P lub torrentów. W większości przypadków jest złośliwe.

5. Trzymaj się z dala od ataków phishingowych

  • Nie klikaj linków ani nie pobieraj załączników z nieoczekiwanych, nieznanych lub niechcianych e-maili. Większość wiadomości e-mail phishingowych narzuca poczucie pilności. Zostały stworzone, aby nakłonić Cię do podjęcia działania, takiego jak kliknięcie linku lub pobranie załączonego pliku.
  • Upewnij się, że twój program antywirusowy ma wbudowaną funkcję anty-phishingową, która automatycznie blokuje wiadomości phishingowe i witryny.

 

X

FreshMail.pl