Novinky
Led
21

Jak se bránit proti ransomware využívajícím EFS

Autor: Martin Buchta | Vytvořeno: 21.01.2020 13:45:21

Bezpečnostní experti ze společnosti Safebreach zveřejnili Proof of Concept (POC) ransomware, který využívá Windows Encrypting File System k tomu, aby se vyhnul detekci ze strany bezpečnostních produktů, a zašifroval data v počítači oběti. Analýzou dat jsme zjistili, že kód využívá Windows API EncryptFile, díky čemuž dokáže obejít rovněž ochranu proti ransomware (tzv. Ransomware Shield), která je součástí nejnovějších verzí produktů ESET. Aktuálně připravujeme detekční signaturu, na jejímž základě dojde k zablokování pokusu o útok. Zároveň chystáme aktualizaci modulu HIPS, po jejímž aplikování dokáže produkt zabránit pokusu o zneužití této systémové součásti. Toto vylepšení bude pro všechny dotčené produkty, včetně jejich starších verzí, distribuováno v rámci standardní aktualizace detekčních a programových modulů a bude zahrnuto od verze modulu 1380.2.

Nová verze modulu již byla uvolněna
Pro ověření, zda již používáte zmíněnou nebo novější verzi modulu HIPS, se v produktu podívejte na seznam nainstalovaných komponent.

Do doby vydání aktualizací můžete pro minimalizování rizika:

  1. v součásti HIPS vytvořit pravidlo pro monitorování souborových změn v umístění %PROGRAMDATA%\Microsoft\Crypto\RSA\MachineKeys* a ručně je schvalovat
  2. funkci EFS deaktivovat, pokud ji nevyužíváte. Provést to můžete dvěma způsoby:
    1. příkazem fsutil behavior set disableencryption 1
    2. změnou klíče HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableEncryption na hodnotu 1
DŮLEŽITÉ:
Mějte na paměti, že pokud funkci EFS využíváte, po jejím deaktivování ztratíte přístup k zašifrovaným datům.