Databáze znalostí:

Jak zvýšit účinnost produktů ESET vůči ransomware?

Autor: | Poslední úprava: 16.12.2020 14:33:11

Ransomware, škodlivý kód šifrující data a vyžadující výkupné za jejich dešifrování, patří mezi významné hrozby dnešní doby. Protože autoři tohoto škodlivého kódu využívají komponenty operačního systému, které většina uživatelů k běžným činnostem nepotřebuje, je možné vhodnou úpravou nastavení produktu ESET snížit riziko zašifrování dat na připojených discích – lokálních i síťových. V závislosti na produktu, který používáte:

» Vytvořte antispamové pravidlo do ESET Mail Security pro MS Exchange

» Vytvořte pravidlo ve firewallu

» Vytvořte pravidlo v modulu HIPS

Abyste nemuseli pravidla vytvářet ručně, připravili jsme pro vás politiky, které můžete importovat do ESET Remote Administrator 6. Odkaz pro jejich stažení naleznete na konci každé kapitoly.

Důležité:
Tento návod je určen pokročilým uživatelům. Mějte na paměti, že pravidla jsou nastavena velmi striktně. Pravidla si nejprve vyzkoušejte v testovacím prostředí na malém vzorku počítačů. V závislosti na vašem prostředí a souborech, které používáte, budete možná muset pravidla upravit.

Antispamové pravidlo v ESET Mail Security pro Microsoft Exchange

K infiltraci počítače dochází nejčastěji prostřednictvím e-mailu, který obsahuje škodlivou přílohu. Efektivním řešením je zachytit zprávu se škodlivou přílohu již na poštovním serveru a nedoručovat ji uživatelům. Pokud používáte ESET Mail Security pro Microsoft Exchange ve verzi 6:

Vytvořte antispamové pravidlo, které bude blokovat doručení zpráv se spustitelnými soubory v příloze.

  1. Jako podmínku vyberte typ přílohy a vyberte všechny spustitelné soubory
  2. Jako akci nastavte odstranění přílohy, případně přesun zprávy do karantény a zapsání informace do protokolu.

Konfigurace ESET Mail Security pro boj s ransomware

Vytvořte antispamové pravidlo, které bude blokovat doručení zpráv s potenciálně škodlivou přílohou.

  1. Jako první podmínku vyberte název přílohy a zadejte *.js, *.hta, *.docm, *.xlsm, *.pptm, *.vbs, *.bat, *wsf, .*jse
  2. Jako akci nastavte odstranění přílohy, případně přesun zprávy do karantény a zapsání informace do protokolu.

Konfigurace ESET Mail Security pro boj s ransomware

» Stáhnout politiku do ESET Remote Administrator

Je dobré vědět:
Postup na ruční vytvoření pravidel máme popsán v tomto článku [anglicky], případně zpracován jako videonávod [anglicky].


Blokování komunikace pomocí firewallu

Pokud uživatel přílohu e-mailu otevře, dojde ke spuštění downloaderu (nejčastěji skriptu JS/TrojanDownloader.Nemucod), který již následně stahuje šifrovací havěť. Protože Powershell, modul Windows Script Host a další skriptovací rozhraní nepotřebují komunikovat do internetu, které zpravidla tvůrci využívají, při zablokování komunikace těchto systémových komponent nedokáže downloader stáhnout šifrovací kód.

Poznámka:
Firewall je součástí produktu ESET Endpoint Security, resp. ESET Internet Security/ESET Smart Security Premium.

Vytvořte ve firewallu pravidla, která budou blokovat komunikaci následujících procesů:

  • cscript.exe
  • ntvdm.exe
  • powershell.exe
  • regsvr32.exe
  • rundll32.exe
  • wscript.exe

Konfigurace ESET firewallu pro boj s ransomware

» Stáhnout politiku do ESET Remote Administrator

Je dobré vědět:
Postup na ruční vytvoření pravidel máme popsán v tomto článku [anglicky], případně zpracován jako videonávod [anglicky].


Blokování nežádoucích akcí modulem HIPS

Modul HIPS v produktech ESET dokáže zabránit tomu, aby konkrétní aplikace spouštěla další aplikace či procesy, případně prováděla škodlivé aktivity. Protože zpravidla neexistuje žádný důvodů k tomu, aby například aplikace z kancelářského balíku Microsoft Office spouštěly příkazový řádek a skriptovací rozhraní, pomocí tohoto modulu můžete tyto akce, které využívají autoři škodlivých kódů, blokovat.

Poznámka:
V případě Windows 10 jsou rozdílné aktualizace pro jednotlivé edice operačního systému. Používáte-li ve firemní sféře edici Home, pravidlo blokující vytvoření potomka procesu powershell zabrání opakovanému spouštění skriptu: C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1.

Vytvořte pravidla v modulu HIPS, aby skriptovací rozhraní nemohla vytvářet další procesy. Níže uvádíme příklad takového pravidla.

  1. Zadejte název pravidla a vyberte akci Zablokovat z rozbalovacího menu Akce.
  2. Jako operaci vyberte možnost Aplikace.
  3. V dalším kroku definujte seznam aplikací, například wscript.exe.
  4. Vyberte operaci Spustit novou aplikaci.
  5. Ponechte možnost Všechny aplikace.
  6. Klikněte na OK pro uložení nového pravidla.

Konfigurace modulu HIPS pro boj s ransomware

» Stáhnout politiku do ESET Remote Administrator

Je dobré vědět:
Postup na ruční vytvoření pravidel máme popsán v tomto článku [anglicky], případně zpracován jako videonávod [anglicky].

Zabezpečení můžete dále zvýšit také zablokováním spouštění maker v dokumentech stažených z internetu.

Štítky: KB6102, KB6132, KB6119, ransomware, šifrovací havěť, obrana před šifrovací havětí, ERA politiky