Sådan undgår du ransomware

2016-07-01

Ransomware får i dag større og større opmærksomhed som følge af det stigende antal angreb. Vores kunder spørger ofte om hvordan de kan forhindre angreb og hvordan man bedst muligt forbereder sig på et angreb. For stort set alle virksomheder er efterhånden klar over, at det mere er et spørgsmål om ”hvornår” det sker, frem for ”om” det sker.

 

1. Software Opdatering

Forskellige varianter af ransomware bliver i stigende grad leveret via Exploit kits som ”Angler”, ”Rig” og ”Nuclear”. Disse kits forsøger at udnytte sårbarheder i Java, Flash og Silverlight eller drage fordel af manglende Windows opdateringer. For at minimere succesraten for Exploit kits, bør man fjerne så mange som muligt af de produkter, der udnyttes. Java, Flash og Silverlight bør således blive slettet fra de brugere, hvis arbejdsfunktion ikke direkte kræver adgang til disse programmer. Lige så vigtigt er det, at både Windows og alle installerede produkter på pc’erne løbende og automatisk bliver opdateret.

 

2. Deaktivering af Microsoft Office makroer 

Ransomware inficerer også pc’er via Word eller Excel dokumenter, hvori en Makro henter og aktiverer malwaren. For at minimere denne angrebsvinkel bør man, evt. via en GPO, deaktivere brugen af makroer for de medarbejdere, der reelt ikke anvender makroer i deres daglige arbejde. Tillad kun brugen af makroer hvor det er nødvendigt.

 

3. Mailbeskyttelse

Som nævnt er emails pt. den mest anvendte distributionsmetode for ransomware. En mailbeskyttelsesløsning, der effektivt filtrerer spam, phishing, malware og indhold er derfor nødvendig i kampen med ransomware. En korrekt konfigureret mailbeskyttelsesløsning kan fjerne en meget stor del af de mails, der potentielt kan inficere pc’en. Jo færre spam mails der når frem til brugerne, jo mindre er risikoen for at nogle vil klikke på noget farligt. I flere tilfælde er malwaren vedhæftet direkte i SPAM mailen. Ved at blokere for filtyper som JS, VBS, EXE, MSI, SCR, JAR, CMD og BAT med flere, fjernes de fleste af denne type.

 

4. Rettigheder

Sørg for at den enkelte bruger ikke har adgang til flere ressourcer, end nødvendigt. Derved minimeres skaden hvis en brugers pc bliver inficeret. "Permit all" shares hører sig fortiden til. Det er tid til at genoverveje, hvem der skal have adgang til hvad. "Read-Only" er en god mellemvej for at bibeholde et åbent miljø, hvor alle stadig kan se, men ikke ændre. Der er meget lidt data i virksomheden, som alle behøver både læse- og skriveadgang til, men det er desværre hvad vi ofte ser, og det er præcis det, ransomware udnytter. Lokalt på pc’erne bør brugerne ikke være hverken domain admin eller lokal admin. Det giver adgang til alt for meget, som malware igen kan udnytte.

 

5. Backup management

Er virksomhedens data først blevet krypteret, er backup den eneste gangbare løsning for genskabelse. Derfor er en grundig backup proces med arkivering, genindlæsning og verificeringsrutine, en vigtig forudsætning for at minimere skaden. Sørg for let og hurtigt at kunne gendanne gårsdagens filer, sidste uges filer og sidste måneds filer. 

 

6. Klientbeskyttelse og overvågning

Moderne klientbeskyttelse og kontinuerlig overvågning er grundstene for at konstatere malware aktivitet på netværket. Få et overblik over hvad ”BaseLine” er i virksomhedens netværkstrafik, for kendes den vil en unormalitet nemmere kunne opdages. Ransomware ændrer og udvikler både udseende og opførsel løbende, derfor må vores forsvar følge med gennem kontinuerlig overvågning. 

 

7. Uddannelse af medarbejdere

Den mest almindelige angrebsform er som nævnt via spam mails med enten en vedhæftet fil eller et link til download. Er medarbejderen opmærksom og i stand til at spotte de farlige mails og hjemmesider, vil mange angreb kunne undgås. I sidste ende er brugeren den sidste linje i forsvaret, derfor bør alle medarbejdere være trænet i basal ”Security Awareness”. 

 

Om Ransomware

Ransomware er en nyere type virus/malware, hvis formål er at tage sine ofres data som gidsel ved at låse udvalgte filer med kryptering, for derefter at kræve løsesum for at låse filerne op igen. Krypteringen af filer sker både lokalt på offerets pc og i de fleste tilfælde også på alle de netværksressourcer, offerets konto har adgang til. De mest udbredte varianter af Ransomware er pt. kendt under følgende navne: CryptoWall, CryptoLocker og TorLocker.

Ransomware bliver som regel spredt via spam mails indeholdende vedhæftede filer eller links til en hjemmeside, hvor en ”exploit” vil forsøge at udnytte sårbarheder til at inficere pc’en. Sørg for løbende at inspicere angreb og infektion, og gør det så svært som muligt for angriberen. Til det får du her vores syv bedste anbefalinger.

Få yderligere rådgivning og vejledning om håndtering af ransomware fra Ateas sikkerhedseksperter.