Ytterligare en våg av Crypt0locker Ransomware

Säkerhet

23/02 2017

Normal
0

21

false
false
false

EN-GB
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:”Table Normal”;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:8.0pt;
mso-para-margin-left:0cm;
line-height:107%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:”Calibri”,sans-serif;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:”Times New Roman”;
mso-bidi-theme-font:minor-bidi;
mso-ansi-language:EN-GB;
mso-fareast-language:EN-US;}

Ytterligare en våg av Crypt0locker Ransomware -> https://www.cert.se/2017/02/pagaende-vag-av-ransomware

Förslag på åtgärder för minska risken att drabbas av Ransomware och annan skadlig kod

1.       Utbildning av användare – Detta är alltid den största anledning att ransomware tar sig in. Plikttrogna medarbetar som skyndsamt tar hand varje mail snabbt. Exempel:

a.       Ha inte bråttom, fråga hellre IT och skicka mailet på analys. Vänta en ett par dagar och så kommer troligen anti-viruset plocka det. Virustotal.com är en väldigt bra sida att skanna länkar samt filer på.

b.       Var noga med att kolla var länkar går och vem det kommer ifrån. Minsta lilla avvikelse ska man reagera på.

c.       Kolla filändelser, .zip-filer (används för att undkomma scanning) från okända är med 99,9% sannolikhet något med skadlig kod i, samma sak word/excel-filer. Bilagor och länkar från okända är generellt att anse som väldigt suspekt.

d.       Undvik att ha era mailadresser på publika sidor. Sidor scannas efter maildresser och läggs i databaser som säljs billigt vidare för att göra utskick av spam, phishing och skadlig kod

e.       Aktivera aldrig macron på office dokument om du inte vet vad macrot gör.

 

2.       Aktivera block/karantän i spam-filter av bilagor med icke-vanliga/oönskade filändelser – Detta bör stämmas av med verksamheten. Leverantörer och kunder som använder äldre format bör kontaktas och bes skickas i nyare format
http://nyheter.wecloud.se/2016/02/hoga-nivaer-virus-i-e-posten.html

 

3.       Ta bort lokala adminstratörs privilegier – Detta stoppar 80% av alla säkerhetshot på en windows dator och 97% av alla webbaserade hot. https://www.avecto.com/news-and-events/news/removing-admin-rights-mitigates-97-of-critical-microsoft-vulnerabilities/

 

4.       Blockering av exekverbara filer under användarens profil – Skadlig kod försöker undvika att behöva exekvera admin behörigheter genom att köra under användarens profil, t.ex. i %TEMP& eller %APPDATA%. Jobba med vitlistning av tillåtna applikationer och produkter. Detta måste så klart stämmas av med er verksamhet
https://blog.brankovucinec.com/2014/10/24/use-software-restriction-policies-to-block-viruses-and-malware/

 

5.        

 

6.       Skaffa ett maskinlärande nätverkanalysverktyg. Väldig hög andel skadlig kod idag är Zero-day. Dvs att första dagen i det ”vilda” så har spam-filter och antivirus inte hunnit skapa definitioner för dessa och de kan härja fritt. Dagens cyberkriminiella verksamheter drivs som företag och lab där de utvecklar ny skadlig kod och testar det mot befintliga antispam- & virus filter. Ett maskinlärande APT verktyg undersöker normalen i ens miljö och triggar på avvikelser från det för att öka sannolikheten att komma åt odefinierade eller okända hot.
http://www.darkreading.com/threat-intelligence/-what-to-do-when-all-malware-is-zero-day/a/d-id/1328155

Ex. på verktyg, Advanced Threat Protection (ATP)
Microsoft ATA
Vectra
Unomaly
Argus Managed Defense
Darktrace