Säkerhetsblogg

Så skyddar du dig mot Ransomware

Give me time to realize my crime
Let me love and steal.
I have danced inside your eyes
How can I be real.

 

Nyligen drabbades många viktiga system av ransomware WannaCry runt om i världen. Det har pratats mycket om Eternal Blue, Microsoft Patch MS-017 och Ransomware, så mitt syfte med denna text är inte att bidra till detta hav av åsikter och diskussioner. Istället kommer jag att fokusera på hur man bäst skyddar sig mot Ransomware.

Ransomware är en skadlig kod som krypterar dina filer och ber om en lösensumma för att dekryptera dem. Det är alltså ett utpressningsvirus som låser din dator och du måste betala för att kunna använda din dator igen.

Just WannaCry angriper Windows-system, så vi kommer att fokusera på dem, men många av de steg du hittar nedan gäller även för icke-Windows-system.

Hur minimerar man risken för att bli utsatt av en Ransomware-attack. Här kommer en lista med saker du borde göra:

  • Installera en personlig brandvägg: Det här är väldigt grundläggande och kan hjälpa till att förhindra att programvaran kommunicerar med krypteringsservern
  • Övervaka nätverket för “konstig” trafik, speciellt om den kommer från C: \ windows \ temp eller någon av följande kataloger:
    • %appdata%\*.exe
    • %appdata%\*\*.exe
    • %localappadata%\*.exe
    • %localappdata%\*.exe
  • Blockera konstig trafik, särskilt om det kommer från kataloger som nämns ovan och/eller på följande portar: 137, 139, 445 (det här är CIFS för Windows, om du inaktiverar dem kan du inte dela filer på ett LAN )
  • Kartlägg applikationer du vill köra i systemen och tillåta endast att de körs, kanske via en GPO (eller sudo-rättigheter och SELinux i * nix-system)
  • Installera antivirus och se till att det alltid är uppdaterat
  • Installera OS-säkerhetsuppdateringar, omfattande servicefönster för att åtgärda kritiska sårbarheter kan komma att schemaläggas
  • Öppna inte bilagor som kommer från okända/icke tillförlitliga platser
  • Skapa en GPO för att inaktivera .exe-filen från att köras från c: \ windows \ Temp och följande kataloger:
    • %appdata%\*.exe
    • %appdata%\*\*.exe
    • %localappadata%\*.exe
    • %localappdata%\*.exe
  • Skapa en GPO för att inaktivera undangömmandet av tillägget i Windows, så att körbara filer blir enklare att identifiera
  • Verifiera all “konstig” närvaro i följande registernycklar:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Gör regelbundna backups av system och koppla bort dem från nätverket. Du kan alltid återställa din data från en offline-backup. Kom ihåg att det måste vara en OFFLINE-BACKUP, annars kan malware kryptera din online-backup vilket gör att du är tillbaka på ruta ett.
  • Begränsa obehöriga applikationer från att upprätta inkommande och utgående anslutningar i den egna brandväggen på varje bärbar dator
  • Aktivera IPS om den finns på den personliga brandväggen på bärbara datorer och på den huvudsakliga brandväggen
  • Blockera .exe och .zip-filer i e-postmeddelanden
  • Utbilda dig själv om säkerhet en till två gånger/per år
  • Kör följande powershell-skript för att identifiera om det finns andra Cryptlocker-programvaror i systemet:
    • (Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames().Replace(“?”,”\”) | Out-File CryptoLockerFiles.txt -Encoding Unicode

Om du ändå blir drabbad, håll tummarna och kolla här:

https://www.nomoreransom.org/decryption-tools.html

Det var allt gott folk! Njut av sommaren och försök att hålla er säkra, det kommer att bli en av de största utmaningarna under denna epok.

 

Läs fler intressanta blogginlägg:

Krack – sårbarheten i WPA2

(D)DoS-attacker – kan man skydda sig? 

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com