Последна промяна: 30 август 2016 г.

  • Оптимални настройки на нашите решения на ESET за защита срещу актуални форми на рансъмуер и най-честите сценарии на инфекция

В тази тема описваме оптимални настройки на нашите решения на ESET за защита срещу актуални  форми на рансъмуер и най-честите сценарии на инфекция. Целта е да се защитят нашите клиенти още по-добре срещу рансъмуер атаки, при които важни данни могат да бъдат криптирани и / или държани като залог, който да бъде освободен, след като бъде платен откуп.

Актуалните рансъмуер атаки използват съвременни методи за инфекция, позволяващи злонамерен малуер да зарази вашето устройство. Те подвеждат хората да изпълнят т.нар dropper , който от своя страна ще изтегли злонамерен малуер, за да започнете процеса на криптиране. Чрез прикачване на dropper  към  имейл, киберпрестъпниците се опитват да избегнат откриването им при влизане в компютъра.

В повечето случаи се използва правилно съставен фишинг мейл с прикачен към него ZIP файл. Този ZIP файл най-често съдържа JavaScript файл ( .js ). Тъй като JavaScript се използва от множество сайтове, не е възможно той да бъде блокиран в браузъра. Освен това, Windows също директно изпълнява JavaScript.

Междувременно JavaScript кода в такъв dropper е силно увреден, скрит и непрекъснато бива изменян, за да се предотврати откриването му. Това ни дава възможност да повлияем на изпълнението на потенциално зловреден код чрез стандартни методи, като използваме различни модули за сигурност.

Общо за ESET Anti-Ransomware настройки за бизнеса

Посредством метода за блокиране на инфекцията от рансъмуер (изпозващ Javascript dropper), допълнителните настройки на нашия ESET Anti-Ransomware пакет предотвратяват малуера да започне да сваля. Тъй като този подход се оказа доста ефикасен, ние решихме да разясним допълнителните настройки подробно и да ги предложим като конфигурационна политика, която да можете да свалите и приложите с помощта на ESET Remote Administrator.

СВАЛЕТЕ СВОИТЕ НАСТРОЙКИ ОТ ТУК >>

Antispam правила за ESET MAIL SECURITY ЗА MS EXCHANGE SERVER

Използването на подходящите антиспам правила, входящите имейли вече ще се филтрират на самия имейл сървър. Това гарантира, че прикрепен файл съдържащ зловреден dropper няма да бъде доставен в пощенската кутия на крайния потребител и на рансъмуера не се дава възможност да се изпълни.

Как да се импортират и прилагат политиките*

  • Логнете се в уебконзолата на ERA 6
  • Изберете ADMIN > Policies
  • След това изберете "Policies" после "Import"
  • Импортирайте политиките една по една
  • Приложете политиките на група или конкретен клиент

Важно

Направете ъпгрейд на ESET Mail Security for Microsoft Exchange Server до последния наличен билд на версия 6.3.x или до по-висока версия за да може филтриращите правила да работят.

Правила на защитната стена заESET ENDPOINT SECURITY

Ако dropper със злонамерен код се изпълни, ESET Endpoint Security все пак не позволява изтеглянето на зловреден софтуер благодарение на вградена защитна стена.

Чрез прилагането на тези правилата на защитната стена на ESET Endpoint Security ще блокира изтеглянето на злонамерен код и ще отхвърли друг скриптов достъп до Интернет.

  • Логнете се в уебконзолата на ERA 6
  • Изберете ADMIN > Policies
  • След това изберете "Policies" после "Import"
  • Импортирайте политиките една по една
  • Приложете политиките на група или конкретен клиент

Имайте предвид ,че при импорта на правила за защитната стена, други правила може да бъдат променени.

HIPS правила за ENDPOINTSECURITY & ENDPOINTANTIVIRUS

Хост-базираната система за предпазване от външна намеса (HIPS) защитава системата отвътре и е в състояние да прекъсне неразрешени действия, преди те да са се изпълнят. Като забранява стандартното изпълнение на JavaScript и други скриптове, на рансъмуера не се дава възможност да изпълни зловреден софтуер, камо ли да го изтегли.

Нашата HIPS също е част от ESET File Security за Windows Server, което го прави приложим за сървъри. Моля, имайте предвид, че HIPS няма да прави разлика в легитимни скриптове стартирани в продукционни среди.

  • Логнете се в уебконзолата на ERA 6
  • Изберете ADMIN > Policies
  • След това изберете "Policies" после "Import"
  • Импортирайте политиките една по една
  • Приложете политиките на група или конкретен клиент

С прилагане на пълния набор от ESET Anti-Ransomware настройки от Мейл сървъра до работните станции и сървъри, рансъмуер имейли с dropper в прикачен файл вече се филтрират, преди те да бъдат разпознати като зловреден код или рансъмуер.