fredag 7 augusti 2015

Hantera riskerna med CryptoLocker, CryptoWall och annan ransomware

En av de största utmaningarna för IT-organisationen är den nya typ av malware som krypterar filer och kräver lösensumma för att återskapa filerna. Både små och stora organisationer har de senaste åren stått försvarslösa inför elak ransomware vilket lett till förlust av viktig information och tidskrävande upprensningsarbete. De traditionella antivirusprogrammen har misslyckats, men WeCloud kan erbjuda en effektiv lösning på problemet.

Bakgrund och historik
Sedan September 2013 har en ny typ av skadlig kod orsakat stora problem världen över. CryptoLocker tillhör en familj av malware som kallas "ransomware" eller "kidnappningsprogram" och är konstruerad för att förhindra åtkomst till användarens filer genom att kryptera dem med en unik krypteringsnyckel. För att återställa filerna kräver förövarna en lösensumma, vanligtvis cirka 2.500 kr, som måste betalas inom 72 timmar. Uteblir betalningen förstörs dekrypteringsnyckeln och filerna blir omöjliga att återställa.

Ransomeware-programmen, som är skrivna för att attackera Microsofts Windows XP, 7 och 8, uppmärksammas sällan av användaren förrän filer krypterats och blivit oåtkomliga. Mer detaljer och information om CryptoLocker finns på http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information.

Utmaningen med ransomeware
På grund av de unika nycklar som används av CryptoLocker och CryptoWall är de i princip omöjligt att åtgärda när de väl lyckats infektera ett system. Traditionella antivirussystem kan inte återställa filerna och IT-tekniker har sällan möjlighet åtgärda problemet, speciellt då dekrypteringsnyckeln ofta helt förstörs 72 timmar efter infektionen. Det finns helt enkelt ingen möjlighet att dekryptera filerna utan att betala lösensumman och få tillgång till den privata dekrypteringsnyckeln. Bästa sättet att skydda sig är att arbeta med proaktiva metoder.



Hur kan vi hantera CryptoLocker, CryptoWall och annan ransomeware?
Varje timma, dygnet runt, släpps nya och uppdaterade versioner av virus i stora volymer. De nya hoten kan inte hanteras med traditionella antivirusprogram som uppdateras en gång om dagen. Istället krävs en levande virusdatabas och analys av beteende i realtid.

Webroot SecureAnywhere Endpoint Protection använder en molnbaserad teknik för beteendeanalys som upptäcker nya typer av malware när de försöker infektera ett system och skyddar i realtid alla andra system som utsätts för liknande attacker. Genom ständig kontakt med en enorm molnbaserad databas (Webroot Intelligence Network) kan SecureAnywhere tillgodose varje skyddat system med sekundfärsk information om nya hot.

Webroot Intelligence Network samlar dagligen in mer än 200 Gb beteende och exekverings-information från användare i hela världen. Molndatabasen uppdateras också med unik URL- och IP-informationsflöden från tekniska samarbetspartners som t.ex. Cisco, F5 Networks, HP, Microsoft, Palo Alto Networks, och RSA. 

Som ett resultat av det ständiga dataflödet blir Webroot SecureAnywhere Endpoint Protection mer och mer kraftfull för varje användare som ansluts till systemet.

Loggar förändringar som orsakas av okända filer
När CryptoLocker eller CryptoWall attackerar ett system som skyddas av Webroot SecureAnywhere upptäcks det i de flesta fall innan den lyckas infektera systemet och kidnappa filer. Om en helt ny och okänd variant av ransomware attackerar ett system har SecureAnywhere ett inbyggt system för övervakning och loggning av de förändringar som orsakas av okända filer. Med hjälp av den insamlade informationen kan SecureAnyhwere återkalla oönskade förändringar så snart det nya hotet är identifierat.

Notera att SecureAnywhere's övervakning och loggning av förändringar är begränsad till lokala hårddiskar på det system där SecureAnywhere-agenten är installerad. Förändringar som sker på delade nätverksenheter kan därför inte återställas med hjälp av SecureAnywhere's loggnings-system. Delade nätverksenheter kan istället skyddas genom att skrivskyddas där det är möjligt, men också genom att säkerställa att SecureAnywhere är installerat på alla datorer och servrar som har tillgång till de delade resurserna på nätverket.

Summering
För att skydda sig mot ransomware som t.ex. CryptoLocker och CryptoWall krävs proaktiva och förutseende metoder. SecureAnywhere integrerar proaktiv beteendeanalys med en realtidsuppdaterad molndatabas samtidigt som förändringar orsakade av oidentifierade filer monitoreras och loggas. WeCloud kan erbjuda ett överlägset skydd mot de nya typer av skadlig kod som idag utmanar datoranvändare över hela världen. WeCloud erbjuder företag och organisationer att utvärdera lösningen kostnadsfritt i upp till 30 dagar.

Antivirussystem bör alltid kombineras med användarinformation och försiktighet rörande okända bilagor i e-post, märkliga länkar, samt ett kontinuerligt arbete med uppdateringar av operativsystem och annan mjukvara. Policy-verktyg bör konfigureras så att bl.a. .EXE-filer och .PE-filer inte kan hämtas från okända webbsidor eller bifogas med e-post.

www.wecloud.se
info@wecloud.com