Blogginlägg -
Så skyddar du dig proaktivt mot Cryptolocker
Cryptolocker är en s.k. Ransomware som har funnits i olika varianter sedan september 2013. Cryptolocker har infekterat mängder med datorer sedan dess och så sent som för några veckor sedan kunde vi läsa att delar av Stockholms Läns Landsting (SLL) lamslagits av ett stort utbrott av ett ransomware som hade krypterat filer på servrarna, ett typisk beteende hos Cryptolocker.
Hur fungerar Cryptolocker?
Cryptolocker använder sig av ett antal infektionssätt för att nå verksamhetens klientdatorer, men den idag vanligast förekommande är att bli smittad via besök på en webbsida, oftast föregången av en länk i ett phishing-mail. Användaren kör den skadliga koden vilket genererar ett antal registernycklar i systemregistret för att undgå bortrensning varefter en symmetrisk krypteringsnyckel skapas och krypterar alla filer som användaren har tillgång till (baserat på en omfattande fördefinierad lista av filändelser). Detta inkluderar alla användarens lokala mappar, liksom network shares som användaren har rättighet att skriva till. Användaren får sedan en notifiering om att de skall betala en summa pengar för att dekryptera filerna.
Cryptolocker meddelande till den drabbade när filerna på datorn har krypterats. Bild från The Hacker News.
Proaktivt skydd mot Cryptolocker
Vanliga antivirusprogram har svårt att skydda mot nya varianter av Cryptolocker. För en organisation som använder säkerhetslösningen Avecto Defendpoint används två av systemets moduler i kombination med varandra - Application Control och Sandboxing. Den tredje modulen,Privilege Management, är mindre relevant i detta fall eftersom Cryptolocker även skulle exekvera under standardbehörigheter, men självklart rekommenderar vi användandet av minimala användarrättigheter för att minska effekten av alla potentiella hot.
Smart vitlistning stoppar Cryptolocker
Defendpoint Application Control kan sättas upp för att vitlista de applikationer och systemkomponenter som ni känner till och litar på, därigenom förhindras okänd kod såsom Cryptolocker att köras. Detta stoppar infektionen innan den ens inträffar, vilket begränsar upprensningen till att endast avlägsna den skadliga kod som användaren laddat ned.
Många verksamheter har tyvärr tidigare negativa erfarenheter av vitlistning. Vitlistning är en erkänt effektiv metod för skydd, men med många andra lösningar kan det innebära hög arbetsbelastning med att uppdatera och underhålla vitlistan. Avectos metod ger däremot möjlighet att sätta generiska regler, vilket ger långt mycket lägre administration och även innehåller en självlärande process.
Ny Sandboxteknologi isolerar Cryptolocker
Om vitlistning av någon anledning inte skulle vara möjligt i verksamheten, så tillhandahåller Defendpoint Sandboxing isolation av den skadliga koden vilket kraftigt begränsar dess verkan.
När användaren följer länken till den infekterade webbsidan så är deras webläsarsession isolerad i en separat, tom användarprofil och den nedladdade skadliga koden skulle stämplas som “untrusted”. Om användaren därefter skulle köra den skadliga koden så skulle den, baserat på sin stämpel som “untrusted”, köras i den tomma användarprofilen. Cryptolocker skulle därefter skriva sina registernycklar till den tomma profilens systemregister och sedan försöka kryptera filer som den tomma profilen har. Eftersom den sandboxade, tomma användarprofilen enbart är helt lokal till denna klientdator så är Cryptolocker effektivt isolerad från alla network shares baserat på domänbaserade rättigheter. Likväl skulle allt material skapat på klientdatorn i sig själv vara skapat under det normala användarkontot och stämplat som “trusted” och vara isolerat och skyddat från smitta.
När användaren loggar ut raderas den tomma användarprofilen, inklusive systemregistret innehållande Cryptolocker.
Cryptolocker är bara en av en många typer av skadlig kod som finns där ute och teknologin som jag beskriver är framtagen för att proaktivt skydda mot alla former av okända hot.
Vill du veta mer?
Läs om hur Avecto Defendpoint fungerar eller läs vår artikel om hur organisationer kan dra nytta om den senaste sandbox-teknologin för att skapa en säkrare IT-miljö.
Bilden högst upp i bloggartikeln är från Geek Republic.