Vložením e-mailové adresy se přihlásíte k odběru novinek.

 
 Aktuální verze

Virová databáze: 15459 (20170522)

Produkty pro domácnosti: 10.1.204

Produkty pro firmy: 6.5.2094

 Kontrola počítače
ESET Online Scanner

ESET Online Scanner je rychlý nástroj pro kontrolu počítače a odstranění nalezených hrozeb.

 Záchranné médium
ESET SysRescue Live

ESET SysRescue Live je nástroj pro odstranění škodlivého kódu nezávisle na operačním systému.

Databáze znalostí

Jak zvýšit účinnost produktů ESET vůči ransomware?

Autor: Martin Buchta | Poslední aktualizace: 14.03.2017 14:26:31

Ransomware, škodlivý kód šifrující data a vyžadující výkupné za jejich dešifrování, patří mezi významné hrozby dnešní doby. Protože autoři tohoto škodlivého kódu využívají komponenty operačního systému, které většina uživatelů k běžným činnostem nepotřebuje, je možné vhodnou úpravou nastavení produktu ESET snížit riziko zašifrování dat na připojených discích – lokálních i síťových. V závislosti na produktu, který používáte:

» Vytvořte antispamové pravidlo do ESET Mail Security pro MS Exchange

» Vytvořte pravidlo v Personálním firewallu

» Vytvořte pravidlo v modulu HIPS

Abyste nemuseli pravidla vytvářet ručně, připravili jsme pro vás politiky, které můžete importovat do ESET Remote Administrator 6. Odkaz pro jejich stažení naleznete na konci každé kapitoly.

Varování

Důležité:
Tento návod je určen pokročilým uživatelům. Mějte na paměti, že pravidla jsou nastavena velmi striktně. Pravidla si nejprve vyzkoušejte v testovacím prostředí na malém vzorku počítačů. V závislosti na vašem prostředí a souborech, které používáte, budete možná muset pravidla upravit.

Antispamové pravidlo v ESET Mail Security pro Microsoft Exchange

K infiltraci počítače dochází nejčastěji prostřednictvím e-mailu, který obsahuje škodlivou přílohu. Efektivním řešením je zachytit zprávu se škodlivou přílohu již na poštovním serveru a nedoručovat ji uživatelům. Pokud používáte ESET Mail Security pro Microsoft Exchange ve verzi 6:

číslo

Vytvořte antispamové pravidlo, které bude blokovat doručení zpráv se spustitelnými soubory v příloze.

  1. Jako podmínku vyberte typ přílohy a vyberte všechny spustitelné soubory
  2. Jako akci nastavte odstranění přílohy, případně přesun zprávy do karantény a zapsání informace do protokolu.

Konfigurace ESET Mail Security pro boj s ransomware

číslo

Vytvořte antispamové pravidlo, které bude blokovat doručení zpráv s potenciálně škodlivou přílohou.

  1. Jako první podmínku vyberte název přílohy a zadejte *.js, *.hta, *.docm, *.xlsm, *.pptm, *.vbs, *.bat
  2. Jako akci nastavte odstranění přílohy, případně přesun zprávy do karantény a zapsání informace do protokolu.

Konfigurace ESET Mail Security pro boj s ransomware

» Stáhnout politiku do ESET Remote Administrator

Upozornění

Je dobré vědět:
Postup na ruční vytvoření pravidel máme popsán v tomto článku [anglicky], případně zpracován jako videonávod [anglicky].

nahoru


Blokování komunikace pomocí Personálního firewallu

Pokud uživatel přílohu e-mailu otevře, dojde ke spuštění downloaderu (nejčastěji skriptu JS/TrojanDownloader.Nemucod), který již následně stahuje šifrovací havěť. Protože Powershell, modul Windows Script Host a další skriptovací rozhraní nepotřebují komunikovat do internetu, které zpravidla tvůrci využívají, při zablokování komunikace těchto systémových komponent nedokáže downloader stáhnout šifrovací kód.

Upozornění

Poznámka:
Personální firewall je součástí pouze produktu ESET Endpoint Security, resp. ESET Smart Security.

číslo

Vytvořte v Personálním firewallu pravidla, která budou blokovat komunikaci následujících procesů:

  • cscript.exe
  • ntvdm.exe
  • powershell.exe
  • regsvr32.exe
  • rundll32.exe
  • wscript.exe

Konfigurace ESET Personálního firewallu pro boj s ransomware

» Stáhnout politiku do ESET Remote Administrator

Upozornění

Je dobré vědět:
Postup na ruční vytvoření pravidel máme popsán v tomto článku [anglicky], případně zpracován jako videonávod [anglicky].

nahoru


Blokování nežádoucích akcí modulem HIPS

Modul HIPS v produktech ESET dokáže zabránit tomu, aby konkrétní aplikace spouštěla další aplikace či procesy, případně prováděla škodlivé aktivity. Protože zpravidla neexistuje žádný důvodů k tomu, aby například aplikace z kancelářského balíku Microsoft Office spouštěly příkazový řádek a skriptovací rozhraní, pomocí tohoto modulu můžete tyto akce, které využívají autoři škodlivých kódů, blokovat.

číslo

Vytvořte pravidla v modulu HIPS, aby skriptovací rozhraní nemohla vytvářet další procesy. Níže uvádíme příklad takového pravidla.

  1. Zadejte název pravidla a vyberte akci Zablokovat z rozbalovacího menu Akce.
  2. Jako operaci vyberte možnost Aplikace.
  3. V dalším kroku definujte seznam aplikací, například wscript.exe.
  4. Vyberte operaci Spustit novou aplikaci.
  5. Ponechte možnost Všechny aplikace.
  6. Klikněte na OK pro uložení nového pravidla.

Konfigurace modulu HIPS pro boj s ransomware

» Stáhnout politiku do ESET Remote Administrator

Upozornění

Je dobré vědět:
Postup na ruční vytvoření pravidel máme popsán v tomto článku [anglicky], případně zpracován jako videonávod [anglicky].

Zabezpečení můžete dále zvýšit také zablokováním spouštění maker v dokumentech stažených z internetu.

nahoru

Štítky: KB6102, KB6132, KB6119, ransomware, šifrovací havěť, obrana před šifrovací havětí, ERA politiky

(12 hlasující(ch))
Tento článek se hodil
Tento článek není nic moc

Komentáře (0)

Vložit nový komentář

(Upozornění: Komentáře neslouží k řešení požadavků na technickou podporu. Pro kontaktování technické podpory klikněte sem.)

 
Celé jméno:
E-mail:
Komentář:
Ochrana před roboty 
 
Pro přidání komentáře musíte vyplnit ochranu před roboty.
Kolik je dva krát tři?