Så skyddar du dig proaktivt mot Cryptolocker

Blogginlägg -

Så skyddar du dig proaktivt mot Cryptolocker

Cryptolocker är en s.k. Ransomware som har funnits i olika varianter sedan september 2013. Cryptolocker har infekterat mängder med datorer sedan dess och så sent som för några veckor sedan kunde vi läsa att delar av Stockholms Läns Landsting (SLL) lamslagits av ett stort utbrott av ett ransomware som hade krypterat filer på servrarna, ett typisk beteende hos Cryptolocker.

Hur fungerar Cryptolocker?

Cryptolocker använder sig av ett antal infektionssätt för att nå verksamhetens klientdatorer, men den idag vanligast förekommande är att bli smittad via besök på en webbsida, oftast föregången av en länk i ett phishing-mail. Användaren kör den skadliga koden vilket genererar ett antal registernycklar i systemregistret för att undgå bortrensning varefter en symmetrisk krypteringsnyckel skapas och krypterar alla filer som användaren har tillgång till (baserat på en omfattande fördefinierad lista av filändelser). Detta inkluderar alla användarens lokala mappar, liksom network shares som användaren har rättighet att skriva till. Användaren får sedan en notifiering om att de skall betala en summa pengar för att dekryptera filerna.

Så här kan ett Cryptolocker meddelande se ut

Cryptolocker meddelande till den drabbade när filerna på datorn har krypterats. Bild från The Hacker News.

Proaktivt skydd mot Cryptolocker

Vanliga antivirusprogram har svårt att skydda mot nya varianter av Cryptolocker. För en organisation som använder säkerhetslösningen Avecto Defendpoint används två av systemets moduler i kombination med varandra - Application Control och Sandboxing. Den tredje modulen,Privilege Management, är mindre relevant i detta fall eftersom Cryptolocker även skulle exekvera under standardbehörigheter, men självklart rekommenderar vi användandet av minimala användarrättigheter för att minska effekten av alla potentiella hot.

Smart vitlistning stoppar Cryptolocker

Defendpoint Application Control kan sättas upp för att vitlista de applikationer och systemkomponenter som ni känner till och litar på, därigenom förhindras okänd kod såsom Cryptolocker att köras. Detta stoppar infektionen innan den ens inträffar, vilket begränsar upprensningen till att endast avlägsna den skadliga kod som användaren laddat ned.

Många verksamheter har tyvärr tidigare negativa erfarenheter av vitlistning. Vitlistning är en erkänt effektiv metod för skydd, men med många andra lösningar kan det innebära hög arbetsbelastning med att uppdatera och underhålla vitlistan. Avectos metod ger däremot möjlighet att sätta generiska regler, vilket ger långt mycket lägre administration och även innehåller en självlärande process.

Ny Sandboxteknologi isolerar Cryptolocker

Om vitlistning av någon anledning inte skulle vara möjligt i verksamheten, så tillhandahåller Defendpoint Sandboxing isolation av den skadliga koden vilket kraftigt begränsar dess verkan.

När användaren följer länken till den infekterade webbsidan så är deras webläsarsession isolerad i en separat, tom användarprofil och den nedladdade skadliga koden skulle stämplas som “untrusted”. Om användaren därefter skulle köra den skadliga koden så skulle den, baserat på sin stämpel som “untrusted”, köras i den tomma användarprofilen. Cryptolocker skulle därefter skriva sina registernycklar till den tomma profilens systemregister och sedan försöka kryptera filer som den tomma profilen har. Eftersom den sandboxade, tomma användarprofilen enbart är helt lokal till denna klientdator så är Cryptolocker effektivt isolerad från alla network shares baserat på domänbaserade rättigheter. Likväl skulle allt material skapat på klientdatorn i sig själv vara skapat under det normala användarkontot och stämplat som “trusted” och vara isolerat och skyddat från smitta.

När användaren loggar ut raderas den tomma användarprofilen, inklusive systemregistret innehållande Cryptolocker.

Cryptolocker är bara en av en många typer av skadlig kod som finns där ute och teknologin som jag beskriver är framtagen för att proaktivt skydda mot alla former av okända hot.

Vill du veta mer?

Läs om hur Avecto Defendpoint fungerar eller läs vår artikel om hur organisationer kan dra nytta om den senaste sandbox-teknologin för att skapa en säkrare IT-miljö. 

Bilden högst upp i bloggartikeln är från Geek Republic.

Relaterade länkar

Ämnen

Kategorier

Kontakter

Tobias Wedin

Tobias Wedin

Team Leader och Sales Engineer 08-7530510

Relaterat innehåll

Svenska myndigheter måste inta en mer proaktiv inställning till IT-säkerhet

Svenska myndigheter måste inta en mer proaktiv inställning till IT-säkerhet

Inuit ger sig in debatten om tillståndet för IT-säkerheten på svenska myndigheter. Senaste veckorna har IT-säkerhet hamnat i fokus efter en rad avslöjande artiklar i svensk media och det hela började med Dagens Nyheters granskning av det sårbara digitala samhället. Det bästa försvaret mot dagens hot uppnås genom att kombinera proaktiva strategier.

Så skyddar sig organisationer mot ransomware attacker

Så skyddar sig organisationer mot ransomware attacker

​På den senaste tiden har det skrivits mycket om ökningen av s.k. ransomware och framförallt Cryptolocker. De vanligaste råden för hur man skyddar sig är formuleringar såsom ”klicka inte på länkar i misstänkta mail”. Det är inte särskilt effektivt, så här ger vi dig fyra handfasta råd för att proaktivt skydda din organisation mot ransomware.

Gör en detaljerad översyn av din IT-säkerhet

Gör en detaljerad översyn av din IT-säkerhet

Dataintrången ökade med 62% mellan 2012 och 2013 och du kunde se flera stora intrång uppmärksammas i media. Samtidigt visar en färsk undersökning att 48% av attackerna kommer inifrån verksamheten. IT-säkerhet är komplext idag och att förstå vad man skall lägga fokus på är avgörande för att upprätthålla en säker IT-miljö. Hur skall du skydda din verksamhet mot dagens avancerade attacker?

IT-säkerhet behöver inte inskränka användares frihet

IT-säkerhet behöver inte inskränka användares frihet

Under året har vi sett flera uttalanden från såväl leverantörer och branschanalytiker om att antivirus program har allt svårare att skydda mot skadlig kod och hackerattacker då de förlitar sig till största del på reaktiva metoder. I en artikel i Techworld ställer Daniel Åhlins frågan om virusskydd är dött. Idag då attackerna är riktade och skadlig kod gör allt för att inte bli upptäckta kan vi

Inuit AB - Effektiva och säkra IT-lösningar som förenklar din vardag

Inuit AB är en distributör specialiserad på produkter för drift och säkerhet för IT-system. Huvudfokus för verksamheten är att skapa kundnytta genom ökad produktivitet och säkra IT-plattformar. Lösningarna spänner över områden såsom ITSM-helpdesk, ärendehantering, hantering av klienter och mobila enheter, nätverks- och serverövervakning, molntjänster, IT-säkerhet, IT analytics, Identity Aceess Management och Active Directory.

Inuit AB
Enebybergsvägen 10A
182 86 Danderyd
Sverige
Startsida
Lösningar
Kunskapshub