Come rispondere a un'infezione da ransomware
Articoli tecnici ID:
KB89805
Ultima modifica: 2022-07-12 20:22:40 Etc/GMT
Ambiente
Endpoint Security (ENS) Prevenzione delle minacce 10.x
Host Intrusion Prevention (host IPS) 8.0
VirusScan Enterprise (VSE) 8.8
Riepilogo
Questo articolo fornisce indicazioni generali per i primi soccorritori durante una ransomware epidemia.
Ransomware è malware che utilizza la cifratura asimmetrica per contenere le informazioni di una vittima al riscatto. La crittografia asimmetrica (pubblica-privata) è la crittografia che utilizza una coppia di chiavi per crittografare e decrittografare un file. L'aggressore genera in modo univoco una coppia di chiavi pubblica-privata per la vittima, con la chiave privata per decrittografare i file memorizzati sul server dell'aggressore. L'utente compromesso deve pagare un riscatto per ottenere le chiavi private per decrittografare i file.
Attualmente esistono molte diverse varianti di ransomware. In genere, ransomware e altri malware vengono distribuiti utilizzando campagne di spam, email di phishing o attacchi mirati. I nostri prodotti per la sicurezza utilizzano diverse tecnologie che aiutano a prevenire ransomware.
Attenersi alla procedura riportata di seguito per rispondere a una ransomware epidemia nell'ambiente:
- Identificare e isolare i sistemi interessati.
L'isolamento dei sistemi interessati consente di impedire la diffusione della minaccia. Non tutte le minacce o varianti di ransomware visualizzano questo comportamento. Per ulteriori informazioni, consultare KB81336-come Build un rapporto di origine delle minacce per VirusScan Enterprise in ePolicy Orchestral.
- Applicate gli aggiornamenti per le vulnerabilità e assicurate la conformità ambientale:
- Applicare gli aggiornamenti di qualsiasi fornitore o sistema operativo su tutti i sistemi. Questa azione è fondamentale per mitigare la vulnerabilità che il malware sta sfruttando. Lasciare che anche un sistema non aggiornato esponga un buco nell'ambiente in cui i malware possono trarre vantaggio.
- Assicurarsi che l'ambiente sia conforme in base alle policy di sicurezza esistenti. Non tutte le varianti di ransomware exploit applicazione o delle vulnerabilità del sistema operativo.
- Applicare le regole ENS/host IPS/VSE correlate ai sistemi online per tutti i comportamenti noti di ransomware. Per informazioni dettagliate, consultare gli articoli correlati:
- Verificare che le best practice consigliate siano in vigore. Per informazioni dettagliate, consultare gli articoli correlati:
- Applicare, verificare e distribuire l'extra .DAT correlato (se disponibile).
Un extra .DAT è un file di rilevamento temporaneo che viene fornito per rilevare e rispostare le minacce. Si tratta di un file che non è ancora stato aggiunto ai file DAT regolari. Se McAfee Labs fornito un file extra. DAT, è consigliabile applicarlo e testarlo localmente su un sistema infetto. Dopo aver testato correttamente il file extra. DAT, applicarlo per eseguire una scansione completa del sistema su richiesta (ODS, on-Demand Scan).
- Eseguire un ODS completo su tutti i sistemi.
- Confermare il controllo dell'ambiente.
Verificare la presenza di minacce rilevate nelle ultime 24 ore. Per ulteriori informazioni, consultare gli articoli correlati:
- Ricollocare i sistemi isolati in linea una volta che sono stati confermati puliti.
Dopo che i sistemi isolati sono stati confermati puliti, si consiglia di riposizionarli online in piccoli gruppi e di monitorare attentamente il loro comportamento in seguito.
- Ripristinare i file interessati da un backup.
Quando tutti i sistemi sono puliti e tornano sulla rete, ripristinare i file dell'applicazione interessati da un'origine di backup valida nota o Windows Volume Shadow.
- Eseguire la risposta agli eventi e le misure proattive.
Il blocco dei tipi di file al gateway è la linea di difesa migliore e più semplice (Vedi i tipi di file elencati di seguito). Ransomware, Downloader e JS/Nemucod si mascherano tutti gli uni con gli altri. In genere, i Downloader arrivano in spam o messaggi di phishing come DOC o XLS, e meno spesso come JS. JS/Nemucod arriva in spam o email di phishing mentre J. ransomware arriva come JS, EXE, TMP, SCR e WSF. La maggior parte dei programmi di installazione Elimina un file EXE nella directory del profilo utente. È più facile proteggersi contro ransomware se si protegge anche contro i propri installatori e contagocce.
Per i programmi di download e Nemucod (Trojan), creare regole di firewall per impedire a Microsoft Word, Microsoft Excel, script e PowerShell di effettuare chiamate in uscita. È inoltre necessario creare elenchi consentiti appropriati in base al traffico legittimo generato da queste applicazioni.
Ad esempio, se un'organizzazione utilizza Office 365, consultare gli intervalli di indirizzi IP di Microsoft Document office 365 e di URL. Gli endpoint includono nomi di dominio completi, porte, URL, intervalli di indirizzi IPv4 e intervalli di indirizzi IPv6 da includere negli elenchi consentiti in uscita. Questi endpoint assicurano che i computer possano utilizzare correttamente Office 365.
Si consiglia inoltre di bloccare i file di archivio, se non in base alle policy aziendali. Esempi di file di archivio sono ZIP, RAR, TAR e JAR.
- Prendere in considerazione l'implementazione di ulteriori suggerimenti:
- Implementazione della consapevolezza e della formazione della sicurezza:
- Simulate una campagna di phishing/spam per portare la consapevolezza della sicurezza a quegli utenti che cadono per gli attacchi di social engineering.
- Ricorda agli utenti di pensarci due volte prima di fare clic sui collegamenti inviati tramite email.
- Indicare agli utenti di non aprire allegati di file sconosciuti o non richiesti, a meno che non venga richiesto dal mittente. Visualizzare l'intestazione email o inviare un email separato per convalidare il mittente prima di aprire gli allegati.
- Segnala email sospette al centro operativo di sicurezza dell'organizzazione. Ricorda agli utenti come e dove inviare email sospetti in modo sicuro.
- Disattivare le macro nelle applicazioni Microsoft Office. Le macro possono essere eseguite nelle applicazioni di Office se viene eseguita un'azione di seguito:
- Selezionare l'opzione attiva tutte le macro in Impostazioni macro.
- Attivare manualmente una macro.
Nota: Le macro sono disattivate per impostazione predefinita. Si consiglia di selezionare l'opzione Disattiva tutte le macro con notifica in Impostazioni macro.
- Gli utenti devono eseguire il backup dei dati aziendali nelle cartelle condivise dell'organizzazione. I dati che risiedono nei dispositivi utente potrebbero essere persi definitivamente durante una ransomware infezione.
- Blocca .EXE , .RAR , .SCR.JS.CAB.VBS.BAT.WSF ,,,, e allegati simili presso il gateway email e Web.
- Impedisce l'esecuzione di PowerShell nei sistemi in cui PowerShell non è stato progettato per essere eseguito.
- Assicurarsi che non vi siano Policy elenco Consenti che esentano .doc , .docx.xls.xlsx ,, o .JS allegati da antispam o da scansione antivirus.
- Installare il plug-in del browser SiteAdvisor Enterprise per rilevare gli allegati spam e bloccare l'accesso a domini dannosi.
- Utilizzare i prodotti gateway email e Web che identificano i collegamenti dannosi e bloccano le email con collegamenti o allegati.
- Attivare il filtraggio spam.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|