Pro zajištění maximální ochrany si bezplatně aktualizujte vámi používané řešení ESET na nejnovější verzi:
Starší verze produktů ESET již nebude brzy možné provozovat na Windows 10, stejně tak aktuální produkty na systémech bez podpory SHA-2. Přehled dotčených verzí společně s možnými aktualizačními scénáři naleznete v migračním průvodci.

Novinky
Led
21
Autor: Martin Buchta | Vytvořeno: 21.01.2020 13:45:21

Bezpečnostní experti ze společnosti Safebreach zveřejnili Proof of Concept (POC) ransomware, který využívá Windows Encrypting File System k tomu, aby se vyhnul detekci ze strany bezpečnostních produktů, a zašifroval data v počítači oběti. Analýzou dat jsme zjistili, že kód využívá Windows API EncryptFile, díky čemuž dokáže obejít rovněž ochranu proti ransomware (tzv. Ransomware Shield), která je součástí nejnovějších verzí produktů ESET. Aktuálně připravujeme detekční signaturu, na jejímž základě dojde k zablokování pokusu o útok. Zároveň chystáme aktualizaci modulu HIPS, po jejímž aplikování dokáže produkt zabránit pokusu o zneužití této systémové součásti. Toto vylepšení bude pro všechny dotčené produkty, včetně jejich starších verzí, distribuováno v rámci standardní aktualizace detekčních a programových modulů a bude zahrnuto od verze modulu 1380.2.

Nová verze modulu již byla uvolněna
Pro ověření, zda již používáte zmíněnou nebo novější verzi modulu HIPS, se v produktu podívejte na seznam nainstalovaných komponent.

Do doby vydání aktualizací můžete pro minimalizování rizika:

  1. v součásti HIPS vytvořit pravidlo pro monitorování souborových změn v umístění %PROGRAMDATA%\Microsoft\Crypto\RSA\MachineKeys* a ručně je schvalovat
  2. funkci EFS deaktivovat, pokud ji nevyužíváte. Provést to můžete dvěma způsoby:
    1. příkazem fsutil behavior set disableencryption 1
    2. změnou klíče HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableEncryption na hodnotu 1
DŮLEŽITÉ:
Mějte na paměti, že pokud funkci EFS využíváte, po jejím deaktivování ztratíte přístup k zašifrovaným datům.