Ransomware to rodzaj ataku, który może być dla organizacji niezwykle bolesny. Hakerzy atakują urządzenia końcowe najmniej świadomych użytkowników, a zaszyfrowanych danych często nie da się odzyskać. Wiele światowych korporacji, które zostały zaatakowane przez ransomware musiało zapłacić wielomilionowe okupy, aby odzyskać dostęp do swoich danych.

CryptoLocker, WannaCry, DarkSide, Conti czy MedusaLocker to jedynie kilka wybranych przykładów ransomware, które są koszmarem dla administratorów IT. Najnowsze badania wskazują, że ransomware ma się dobrze, a ilość ataków tego typu będzie rosła. Jak zatem zabezpieczyć się przed zaszyfrowaniem danych i utratą dostępu do systemu operacyjnego? Jak możemy powstrzymać atak hakerski? Czy to w ogóle możliwe?

Zobacz również:

• Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC
• Nearby Sharing od Google - wygodny sposób na przesyłanie plików
• Wiemy już, ile zapłacimy za rozszerzone wsparcie techniczne systemu Windows 10

W niniejszym materiale pokazujemy jak zabezpieczyć komputery firmowe pracujące pod kontrolą systemu operacyjnego Windows 10 lub Windows 11 przed atakami typu ransomware.

1. Korzystaj z Windows Update dla Firm

Microsoft udostępnia administratorom IT dostęp do specjalnej wersji Windows Update. Pozwala ona planować oraz wymuszać instalowanie nowych poprawek bezpieczeństwa. Administratorzy IT powinni korzystać z tej opcji i na bieżąco monitorować poziom poprawek na służbowym sprzęcie, a w razie potrzeby wymuszać aktualizacje do nowszych wersji - na komputerach i serwerach. Tyczy się to również innego sprzętu stosowanego w organizacji - macierzy dyskowych, sprzętu klasy korporacyjnej czy smartfonów służbowych, które także mogą paść celem ataku.

2. Pozbądź się protokołu SMB1

Wiele działów IT pomimo upływu czasu i świadomości zagrożenia nadal stosuje protokół sieciowy SMB1, który jest przestarzały, dziurawy i niezabezpieczony. Microsoft wydał ostrzeżenie, w którym przestrzega przed korzystaniem z tego rozwiązania, ale w praktyce SMB1 nadal jest częstym narzędziem pracy działów IT.

Protokół SMB1 ma już 30 lat i w swojej historii wielokrotnie był wykorzystywany do szerokiego rozpowszechniania ransomware w sieciach korporacyjnych.

Microsoft pozbył się SMB1 w Windows 10 w wersji 1709 z października 2017 roku oraz Windowsa 11, ale zmiana ta dotyczy jedynie urządzeń z czystą instalacją Windowsa. Starsze komputery, które zostały zaktualizowane do Windows 10 21H2 oraz Windows 11 nadal posiadają wbudowany protokół SMB1 - warto o tym pamiętać.

Zaleca się wyłączenie SMB1, a następnie zablokowanie wszystkich wersji SMB na granicy sieci poprzez zablokowanie portu TCP 445 z powiązanymi protokołami na portach UDP 137-138 i TCP port 139, dla wszystkich urządzeń granicznych.

3. Kontrolowany dostęp do folderów

Microsoft zdaje sobie sprawę z siły rażenia atakami ransomware i wbudował w Windows 10 i Windows 11 narzędzie, które ma zapobiegać tego typu atakom. Mowa o funkcję kontroli dostępu do folderów, która chroni użytkowników przed nieuprawnionym dostępem do plików. Rozwiazanie kontroluje dostęp aplikacji zainstalowanych w systemie. Niezidentyfikowane programy lub zidentyfikowane aplikacje noszące znamiona wirusów malware nie otrzymają dostępu do plików przechowywanych w systemie operacyjnym Windows.

Niestety domyślnie wyżej wymieniona funkcja nie jest aktywna. Należy uruchomić ją ręcznie lub skorzystać z Edytora Zasad Grupy, aby aktywować rozwiązanie na wszystkich komputerach znajdujących się w domenie.

Microsoft pozwala na ręczne dodawanie wybranych aplikacji do białej listy, która pozwala na swobodny dostęp do plików użytkownika.

Ustawienia funkcji znajdziemy w zakładce bezpieczeństwo. Funkcja domyślnie chroni zdefiniowane przez Microsoft foldery takie jak Pulpit, Dokumenty, Obrazy czy Wideo. Jeżeli korzystamy z innych folderów, w których przechowujemy ważne pliki warto dodać je z poziomu Ustawień rozwiązania.

4. Skuteczna kopia zapasowa chroni przed ransomware

Ransomware polega na zaszyfrowaniu dostępu do plików w celu wymuszania okupu. Działanie tego typu najczęściej obejmuje całą infrastrukturę IT organizacji kompletnie paraliżując jej pracę. Dobrym sposobem na zabezpieczenie się przed ransomware jest rozsądne podejście do tworzenia kopii zapasowych oraz posiadanie DRC - Disaster Recovery Center lub usług DRAAS - DRC w chmurze.

Dzięki DRC oraz kopii zapasowej w momencie ataku ransomware możemy wygodnie przywrócić funkcjonowanie krytycznych elementów infrastruktury IT w celu zachowania ciągłości biznesu, a w kolejnych krokach przywracać sprawność działania urządzeń końcowych.

Dzięki przemyślanej procedurze tworzenia oraz przywracania kopii zapasowych firma może uniknąć płacenia wielomilionowych okupów w celu uzyskania klucza deszyfrującego oraz zminimalizować przestój związany z atakiem.

Dobrym pomysłem jest korzystanie z reguły 3-2-1. Zakłada ona wykonywanie trzech kopii zapasowych, które znajdują się na dwóch różnych nośnikach, a jedna kopia zapasowa została wyniesiona poza infrastrukturę IT organizacji, do czego idealnym miejscem jest chmura publiczna.

W zabezpieczeniu danych naszych pracownikow pomogą również popularne dyski sieciowe takie jak OneDrive zintegrowany z Microsoft 365 czy Google Drive.

5. Zainwestuj w system EDR

Antywirus działa na podstawie aktualizowanej bazy danych sygnatur. Oprogramowanie to samo w sobie nie jest w stanie wykrywać anomalii w systemie operacyjnym. Z tego powodu warto sięgnąć po nowsze rozwiązanie - EDR - Endpoint Detection and Response System. Rozwiązanie to korzysta ze sztucznej inteligencji i analizuje zachowania behawioralne użytkownika oraz całego systemu operacyjnego i zainstalowany na nim aplikacji, w celu natychmiastowej identyfikacji niebezpiecznych oraz podejrzanych zachowań.

EDR pozwala skutecznie zabezpieczyć przed atakiem ransomware na infrastrukturę IT organizacji, a na dodatek zabezpieczy komputery służbowe pracowników przed innymi zagrożeniami np. koparkami kryptowalut czy coraz bardziej wyrafinowanymi wirusami typu malware.

6. Wyłącz makra w Microsoft Office

Ransomware może być również dystrybuowane z wykorzystaniem makr w plikach pakietu biurowego Office. Microsoft aktualnie wyłącza makra domyślnie, ale nie oznacza to, że są one wyłączone u pracowników. Warto z poziomu uprawnień grupy GPO wyłączyć obsługę makr na wszystkich komputerach z domeny. Obsługa makr powinna być uruchamiania jedynie, gdy posiadamy makra z zaufanego źródła.