大多數安全專家都認為, 防範勒索軟體的最佳方法是從一開始就防止其發生。
引用
引用
……在這之前,沒有什麼好的方法可以解密由勒索軟體 預防加密的文件,這是唯一可以保證您安心的方法 。
卡巴斯基實驗室 報告稱, RDP 暴力攻擊呈上升趨勢 。 每個人都應該意識到, 遠端桌面協定 是一種非常 暴力攻擊媒介 常見的伺服器 ,特別是那些參與勒索軟體開發和傳播的人,因為如果啟用,它允許來自外部的連線。 攻擊者將使用遠端連接埠掃描工具掃描企業電腦系統,搜尋通常用於從工作場所外部登入的支援 RDP 的端點。 攻擊密碼來進行一系列登入嘗試 當攻擊者發現易受攻擊的啟用 RDP 的端點時,他們會透過猜測或暴力 。 攻擊者還可以利用 公司員工的網路釣魚 來獲取對其電腦的存取和控制,然後使用該存取權限從網路內部進行暴力 RDP 存取。
一旦攻擊者獲得對目標電腦的遠端管理存取權限,他們就可以建立新的使用者帳戶或使用未登入的使用者執行任何操作 。 攻擊者可以使用遠端存取工具引入並執行加密惡意軟體,產生加密金鑰,加密資料檔案並透過終端服務用戶端將檔案上傳回給他們。 攻擊者還可以在部署勒索軟體攻擊之前從備份設備和伺服器竊取未加密的文件,如此處 所述 。
除了搜尋具有暴露的 RDP 或可被暴力攻擊利用的弱密碼的設備外,犯罪分子還利用該訪問權限 定期搜索和銷毀備份 ,或者乾脆 刪除您的備份 。
IT 管理員和其他人員 如果不使用 RDP,則應關閉它 。 如果他們必須使用 RDP,確保其安全的最佳方法是僅允許來自本地流量的 RDP、在防火牆上將 IP 列入白名單或不將其暴露到 Internet。 將 RDP 置於防火牆後面、為 設定VPN 防火牆 、使用RDP 閘道 、變更預設 RDP 連接埠 (TCP 3389) 並 強制執行強密碼原則 ,尤其是對任何管理員帳戶或具有 RDP 權限的帳戶。 使用伺服器的使用者甚至可能需要考慮使用基於主機的入侵防禦系統 (HIPS),例如適用 於 Windows Server 的 RdpGuard,以防止暴力攻擊 。
- 遭遇 RDP 攻擊? 這是你的錯,不是微軟的錯
- 勒索軟體最喜歡的存取點 – 遠端桌面協定 (RDP)
- 暴力 RDP 攻擊取決於您的錯誤
- RDP 攻擊:您需要了解什麼以及如何保護自己
- RDP 暴力攻擊:確保業務安全的 5 個技巧
- 保護系統管理員的遠端桌面 (RDP) 安全
惡意軟體可以透過 隱藏檔案副檔名 或在檔案名稱中新增雙檔案副檔名和/或空格來隱藏真實的副檔名來偽裝自己,因此請務必仔細查看完整的檔案名稱和副檔名,以便確保您仔細查看完整的檔案名稱和副檔名。 在某些情況下,您可能看不到雙副檔名,因為 Windows 中預設隱藏 檔案副檔名。 如果您選擇了取消隱藏文件副檔名的選項,那麼如果惡意軟體編寫者在「.exe」副檔名之前使用額外的空格來命名該文件,您仍然可能會被愚弄。 真正的擴展名被隱藏了,因為列寬太窄,無法顯示完整的名稱,而且中間的小點幾乎看不見。
如果看不到檔案副檔名,您可能需要 重新配置 Windows 以顯示已知的檔案副檔名 。
勒索軟體預防技巧:
- US-CERT:如何保護您的網路免受勒索軟體侵害
- 如何保護和強化電腦免受勒索軟體的侵害
- 如何鎖定以免勒索軟體將您拒之門外
- SANS 企業勒索軟體攻擊存活指南
- 勒索軟體:預防和回應的最佳實踐
- 勒索軟體:7 種防禦策略
- 如何加強企業防禦勒索軟體
- 保護您的環境免受勒索軟體侵害的最佳實踐
- 勒索軟體注意事項:保護關鍵數據
- 企業如何最好地防禦勒索軟體攻擊
- 家庭用戶可以採取 11 件事來防範勒索軟體
- 家庭用戶的 22 個勒索軟體預防技巧
- 為什麼每個人都應該立即停用(重新命名)VSSAdmin.exe!
您應該 使用反漏洞程式來幫助保護您的電腦免受零時差攻擊 ,並依靠 行為偵測程式 而不是僅使用標準的防毒定義(簽章)來偵測軟體。 這意味著使用可以檢測惡意軟體何時修改/加密檔案並阻止它的程序,而不僅僅是檢測惡意檔案本身,在大多數情況下,防毒軟體不會立即檢測到惡意檔案本身。 一些防毒和反惡意軟體程式包括內建的 反利用保護 。
注意: Windows Defender Exploit Guard (在 Windows 10 Fall Creators Update 中引入)包含 新入侵防禦功能的四個元件 ,旨在鎖定係統以抵禦各種攻擊媒介,並在造成任何損害之前阻止惡意軟體攻擊中常用的行為。 漏洞利用防護 包括漏洞利用緩解措施,可以將其配置為在檢測到可疑或惡意的類似漏洞利用行為時保護系統和應用程式。 受控資料夾存取 可阻止不受信任的進程存取和篡改(加密)這些受保護資料夾中包含的敏感文件,從而保護常見系統資料夾和個人資料免受勒索軟體的侵害。 減少攻擊面 (ASR) 由一組規則組成,這些規則透過阻止 Office、腳本和基於電子郵件的威脅來幫助防止尋求利用的惡意軟體。 網路保護 透過阻止任何試圖與低信譽主機/IP/網域連接的出站進程來防禦基於 Web 的威脅 Windows Defender 智慧螢幕 。 Windows Defender EG 旨在取代 Microsoft 的 EMET,後者會讓新手用戶感到困惑,並允許駭客繞過,因為緩解措施不持久,並且經常導致作業系統和應用程式穩定性問題,如這裡 所述 。
勒索軟體預防工具:
- AppCheck 反勒索軟體
- Check Point ZoneAlarm 反勒索軟體
- 安克諾斯網路保護
- 具有反漏洞利用和反勒索軟體功能的惡意軟體位元組
- Malwarebytes Anti-Exploit 獨立版
- 卡巴斯基反勒索軟體商業工具(免費) – 卡巴斯基反勒索軟體的工作原理
- 適用於 Windows Server 的 RdpGuard HIPS 可防止暴力攻擊
- CryptoPrevent – CryptoPrevent 常見問題解答
- 沒有病毒感謝 OSArmor
- Cybereason 無勒索 <- 已於 2018 年 12 月 8 日停產,請參閱 [i] 此處的
- CyberSight 勒索停止器
- McAfee 勒索軟體攔截器 – 如何使用攔截器 、 常見問題解答
- TEMASOFT Ranstop – Ranstop 常見問題、支援、系統需求
- 加密掉落
- GS 反勒索軟體
- 用於檔案伺服器的 CryptoLocker Tripwire
- HitmanPro.Alert 與 CryptoGuard
- 勒索軟體模擬器
- MBRFilter – 使用 MBRFilter 防禦修改主開機記錄的勒索軟體
- Bitdefender 反勒索軟體
- Microsoft 增強型緩解體驗工具包 (EMET)
- 賽門鐵克的 NoScript 或 AnalogX Script Defender
- 反勒索軟體列表及比較
其他惡意軟體預防工具:
重要提示: 請記住,一些安全研究人員建議不要使用多個反漏洞應用程序,因為同時使用多個反漏洞應用程式可能會影響 面向返回編程 (ROP) 和其他漏洞檢查的有效性。 與僅運行一個反漏洞應用程式相比,這反過來可能會導致系統變得更容易受到攻擊。 在某些情況下,多個工具可能會導致相互幹擾和程式崩潰,
引用
引用
雖然您應該使用防毒軟體(甚至只是 Windows 10、8.1 和 8 中內建的 Windows Defender 工具)以及反漏洞程序,但 您不應該使用多個反漏洞程序 …… 這些類型的工具可能會幹擾彼此之間的互動也會導致應用程式崩潰或不受保護 。
ROP 是一種電腦安全漏洞利用技術,允許攻擊者在存在安全防禦(例如不可執行記憶體和程式碼簽署)的情況下執行程式碼。 這是一種有效的 程式碼重用攻擊, 因為它是攻擊者最受歡迎的利用技術之一,很少有實用的防禦措施能夠在不存取原始程式碼的情況下阻止此類攻擊。 位址空間佈局隨機化 (ASLR) 是一種電腦安全技術,涉及防止緩衝區溢位攻擊。 這些安全技術旨在減輕(降低)利用嘗試的有效性。 許多進階漏洞利用 ROP 和 ASLR 作為攻擊媒介 ,用於破壞安全防禦並在系統上執行惡意程式碼。 例如,它們可用於繞過 DEP(資料執行預防),DEP 用於阻止緩衝區溢位和記憶體損壞攻擊。 具有 ROP 和 ASLR 保護的工具(例如 Microsoft 的增強型緩解體驗工具包 (EMET)) 使用檢查每個關鍵函數呼叫的技術來確定其是否合法(如果啟用了這些功能)。
因此, 任何反漏洞/反勒索軟體程式的保護功能。 用戶需要了解並了解他們正在考慮使用的
防毒和安全供應商提供的勒索軟體解密工具清單:
