Όλα σχεδόν τα Ransomware έχουν σαν προϋπόθεση το κατέβασμα από το χρήστη ή και την εκτέλεση κάποιου κακόβουλου αρχείου. Συνήθως αυτό γίνεται από κάποιο κακόβουλο attachment ενός email. Για το λόγο αυτό είναι σημαντική η εκπαίδευση των χρηστών ώστε να μπορούν να ανιχνεύσουν ένα phishing email και να μπορούν να κρίνουν αν πρέπει να ανοίξουν ένα επισυναπτόμενο αρχείο ή να κάνουν κλικ σε ένα link.

Χρησιμοποιήστε ένα καλό antivirus το οποίο να προσφέρει τουλάχιστον Zero-day protection, Anti-Malware protection, Web και Mail protection. Στην Click Solutions χρησιμοποιούμε Endpoint Antivirus, τα οποία ελέγχονται από μια κεντρική κονσόλα εξασφαλίζοντας έτσι ότι ο τελικός χρήστης δεν μπορεί να διακόψει την λειτουργία τους και παραμένουν πάντα ενημερωμένα. Σε ορισμένες εκδόσεις τους υπάρχει μια εξελιγμένη διαχείριση για την ψηφιακή ασφάλεια αντιμετωπίζοντας malware τα οποία δεν είναι ακόμη γνωστά.

Εάν δεν επιλέξετε ένα antivirus με εξελιγμένη διαχείριση που μπορεί να σας προσφέρει 100% ασφάλεια, η χρήση ενός δεύτερου μηχανισμού ανίχνευσης είναι αναγκαία.

Μπορείτε να εγκαταστήσετε ένα μηχανισμό antispam και ελέγχου των emails σας. Ακόμη μπορείτε να εγκαταστήστε το MalwareBytes Antiransomware, είναι σε BETA μορφή και για την ώρα δωρεάν, με πολύ καλά αποτελέσματά.

Στην Click Solutions προτείνουμε την εγκατάσταση μιας συσκευής Unified Τhreat Μanagement (UTM), που περιλαμβάνει τα χαρακτηριστικά ενός Firewall επομένης γενιάς (NGFW) και πρόσθετες λειτουργίες όπως η ασφάλεια ηλεκτρονικού ταχυδρομείου, φιλτράρισμα URL, ασύρματη ασφάλεια και τείχος προστασίας για online εφαρμογές. Πλέον είναι προσιτά ακόμη και σε μικρές επιχειρήσεις ή οικιακά δίκτυα.

Φροντίστε να έχετε ασφαλή τα δεδομένα σας! Υπάρχουν τόσοι κίνδυνοι, ψηφιακοί ή φυσικοί που απειλούν τα δεδομένα σας. Τα ransomware είναι μόνο ένας από αυτούς.

Ο αριθμός των εταιριών που συνεχίζουν να μην λαμβάνουν backup ή το κάνουν με λανθασμένο τρόπο, είναι εντυπωσιακός. Σε περίπτωση ransomware οι εταιρίες αυτές είναι καταδικασμένες να πληρώσουν ή … να κλείσουν.

Πρέπει να φροντίσετε ώστε να λαμβάνεται συχνά (ανάλογα με την πολιτική backup που εφαρμόζετε) αντίγραφα ασφαλείας, να διατηρείται τουλάχιστον δύο backup set σε διαφορετικά αποθηκευτικά μέσα και το ένα από αυτά να το διατηρείται απομακρυσμένα από την εταιρεία.

Το Click2Backup αυτοματοποιεί την διαδικασία αυτή για εσάς και κρατά ένα αντίγραφο ασφαλή και κωδικοποιημένο στο Cloud. To σημαντικό πλεονέκτημα του Click2Backup κατά του ransomware είναι ότι διατηρεί τις 30 τελευταίες εκδόσεις ενός αρχείου. Έτσι ακόμη και αν μολυνθείτε, θα μπορείτε να ανακτήσετε μια προηγούμενη έκδοση.

Είναι σημαντικό τα συστήματα σας να έχουν τελευταίες εκδόσεις λειτουργικών συστημάτων τα οποία ενημερώνονται αδιάληπτα από τον κατασκευαστή. Καλό είναι να αντικαταστήσετε παλαιές εκδόσεις των Windows XP, Vista ή Windows Server 2003 παρόλο που η Microsoft έχει εκδώσει ενημέρωση ασφαλείας ακόμη και για τις εκδόσεις αυτές.

Μην ξεχνάτε να διατηρείτε συνεχώς ενημερωμένα τα συστήματα στο σύνολο των εφαρμογών που χρησιμοποιείται, όχι μόνο στο λειτουργικό σύστημα.

Ρυθμίστε τον web browser που χρησιμοποιείται ώστε να αποτρέπει την εγκατάσταση μιας εφαρμογής χωρίς την άδεια σας.

Είναι σύνηθες στην καθημερινή λειτουργίας μας να απενεργοποιούμε το firewall του υπολογιστή για την διευκόλυνση της εκτέλεσης μιας εφαρμογής. Σταματήστε να το κάνετε, αντίθετα μπορείτε να δημιουργείτε συγκεκριμένους κανόνες εξαίρεσης για κάθε εφαρμογή ακόμα και για την εξερχόμενη κίνηση.

Έχει παρατηρηθεί ότι οι συνήθεις φάκελοι από τους οποίους τρέχουν τα κακόβουλα λογισμικά όπως το Cryptolocker είναι οι AppData και LocalAppData, ενώ καμία «νόμιμη» εφαρμογή δεν τρέχει από αυτούς τους φακέλους.

Μπλοκάροντας την εκτέλεση αρχείων από τους φακέλους αυτούς μπορούμε να αποτρέψουμε την εκτέλεση μολυσμένων αρχείων. Συγκεκριμένα απενεργοποιήστε την:

• εκτέλεση αρχείων από τους φακέλους AppData και LocalAppData.
• εκτέλεση αρχείων από τον Temp subdirectory (μέρος του AppData tree από default)
• εκτέλεση αρχείων από συμπιεσμένα αρχεία διάφορων προγραμμάτων Unzip (για παράδειγμα WinZip or 7-Zip).

Αρκετά Ransomware χρησιμοποιούν IP του TOR (πρωτόκολλο δημιουργίας ανώνυμων IP) για την επικοινωνία με τον command-and-control Server, όπως για παράδειγμα η 146.185.220.0/24 σχετίζεται με το CryptoWall σύμφωνα με τον CIS.

Με το blocking των TOR IP διευθύνσεων μπορείτε να μειώσετε την πιθανότητα επικοινωνίας και άρα κρυπτογράφησης των αρχείων. Για να μπλοκάρετε τη σύνδεση μεταξύ του δικτύου σας και του δικτύου συγκεκριμένης TOR IP πρέπει να την προσθέσετε στις σταθερά μπλοκαρισμένες IP(blacklist) του firewall σας. Προσοχή: Δεν χρησιμοποιούν όλα τα κακόβουλα λογισμικά TOR IP.

Όταν το Ransomware μολύνει ένα στόχο ξεκινάει την ανίχνευση πιθανών αρχείων προς κρυπτογράφηση τόσο στον ίδιο υπολογιστή όσο και στο δίκτυο. Έτσι άμεσα θα μολυνθεί οτιδήποτε είναι mapped drive. Δίνοντας συγκεκριμένες προσβάσεις και μειωμένα δικαιώματα μπορούμε να μειώσουμε την εξάπλωση του Ransomware εντός του εταιρικού δικτύου

Ανάλογα τα δικαιώματα του χρήστη στον υπολογιστή που μολύνθηκε, ένα Ransomware μπορεί να εκτελεστεί ή και να αποτραπεί, συνεπώς ανάλογα με τα δικαιώματα του χρήστη θα εξαπλωθεί παντού, μερικά ή και καθόλου.

Για το λόγο αυτό, θα πρέπει οι χρήστες να έχουν τόσα δικαιώματα όσα χρειάζονται για την εργασία που εκτελούν.

Ειδικά admin δικαιώματα δεν πρέπει να έχουν ούτε οι administrator για τις καθημερινές εργασίες τους.

Τέλος θα πρέπει να απενεργοποιηθούν οι default χρήστες guest και admin. Για το διαχειριστή του συστήματος μπορείτε να χρησιμοποιήσετε ένα διαφορετικό username

Αρχικά μην χρησιμοποιείτε την εφαρμογή ΑΜΜΥ και αν υπάρχει εγκατεστημένη, απεγκαταστήστε την.

Καλό είναι να μην χρησιμοποιείται την απομακρυσμένη επιφάνεια εργασίας (Remote Desktop) για να συνδεθείτε σε κάποιο υπολογιστή του δικτύου σας, αλλά να εγκατασταθεί VPN ή IP filtering όπου προσθέτετε συγκεκριμένες IP που μπορούν να θεωρούνται εσωτερικές του δικτύου. Αν αυτό δεν είναι εφικτό θα πρέπει να αλλάξετε την default port από 3389 σε κάποια άλλη.

Η ενεργοποίηση των macros σε αρχεία του office είναι πολύ επικίνδυνη καθώς αποτελεί συχνή επιλογή εισόδου ενός Ransomware στο δίκτυο της εταιρίας, για τον λόγο αυτό προτείνουμε την απενεργοποίηση τους.

Μην απενεργοποιείται τον Έλεγχο Λογαριασμού Χρήστη (User Access Control –UAC) καθώς αποτελεί ένα επιπλέον σημείο άμυνας έναντι της μόλυνσης από Ransomware.

Οι τελευταίες εκδόσεις Ransomware δεν στηρίζονται στην εκτέλεση .exe αρχείων αλλά Javascript αρχείων. Επειδή το είδος αυτών των αρχείων δεν χρησιμοποιείται από τελικούς χρήστες θα πρέπει να οριστεί ως default πρόγραμμα για το άνοιγμα τους, το notepad ώστε να μπορεί να ελεγχθεί και ο κώδικάς τους.