ランサムウェアは、 (Ransomware)Windows 11/10でのマルウェアの処理に関して、 Microsoftを含む世界中のコンピューターユーザーにとって大きな課題であることが証明されています。実際、同社は、ランサムウェアの亜種が過去12か月で2倍以上になっていると主張しています。また、他の種類のウイルスやトロイの木馬は短期的で抽出可能ですが、ランサムウェア(Ransomware)は、すべての重要なファイルやドキュメントが削除されない代わりに、資金を恐喝することを前提に機能します。それに加えて、攻撃者がランサムウェア攻撃を実行するために使用している方法と手段は、多様で、複雑で、コストがかかります。Windows 11/10がPC上のランサムウェアの脅威にどのように対処するかを示しています。
(Ransomware)Windows 11/10ランサムウェア保護
Windowsは、ランサムウェア関連の脅威を含むマルウェアに対する保護を強化するための新しいテクノロジーを追加しました。Microsoftは、 (Microsoft)Microsoft Edgeを使用するときに特定のエクスプロイトが機能することを非常に困難にするように、また、潜在的に危険なWebサイトについてより適切に通知するためにURLレピュテーションを強化しました。電子メール攻撃が消費者および商用の生産性スイートの顧客に到達するのをブロックする機能を強化しました。マイクロソフト(Microsoft)は、企業がランサムウェア攻撃などを簡単に調査して対応できるようにするために、WindowsDefenderATPをリリースしました(Windows Defender ATP)。
読む: (Read)WindowsDefenderでランサムウェア保護(Ransomware Protection in Windows Defender)を有効にして構成する方法。
RANSOMWARE PROTECTION IN WINDOWS 11/10
ランサムウェアを引き起こす攻撃者から保護するために、Windows 11/10はコンピューターにいくつかの重要な改善を加えています。したがって、保護を維持するには、最初に次のことを行う必要があります。
- 最新のWindows11/10バージョンに更新し、デフォルト設定に切り替えます。
- オペレーティングシステムとインストールされているソフトウェアを最新バージョンで更新してください。
- バックアップと復元の戦略を適切に管理します。
(Apply)これらの保護対策をWindows 11/10適用して、ネットワークセキュリティを強化するとMicrosoftは述べています。
- LAPSなどのツールを使用して、ローカル管理者のパスワードをランダム化します。
- アカウントロックアウトポリシーを適用します。
- 公開されたシステムにパッチを適用して、良好な境界セキュリティを確保します。脆弱性については、 MFA(MFA)やベンダー提供の緩和ガイダンスなどの緩和要素を
適用します。(Apply) - ホストファイアウォールを利用して、横方向の動きを制限します。
- エンドポイントがSMBの(SMB)TCPポート445で通信できないようにします。これはほとんどのネットワークに限定的な悪影響を及ぼしますが、敵の活動を大幅に混乱させる可能性があります。
- 急速に進化する攻撃者のツールと手法をカバーするために、 Microsoft Defender Antivirus(Microsoft Defender Antivirus)またはそれに相当するウイルス対策製品に対して、クラウドで提供される保護をオンにします。
- 改ざん(Tamper)防止機能をオンにして、攻撃者がセキュリティサービスを停止するのを防ぎます。
- ランサムウェアのアクティビティをブロックできるルールを含む、攻撃対象領域の削減ルールをオンにします。
- (Use)ランサムウェアに対する高度な保護を使用する
- (Block)PsExecおよびWMIコマンドから発生するプロセスの作成をブロックする
- (Block)Windowsローカルセキュリティ機関サブシステム(lsass.exe)からのクレデンシャルの盗用をブロックする
関連記事:(Related reads:)
ランサムウェアの防止
- ブラウザの強化(Browser Hardening)
先月見たように、一部のマルウェア攻撃者はAdobe Flashなどのソフトウェアを使用してブラウザに侵入し、コンピュータに危害を加えていました。そのため、新しい更新プログラムで、MicrosoftはAdobe Flashを更新して、 (Adobe Flash)MicrosoftEdgeブラウザーの分離されたコンテナーで動作するようにしました。このアップデートでは、マルウェアがブラウザを離れて他のプログラムに影響を与えることを許可しない機能もEdgeに導入されています。(Edge)このMicrosoftEdge(Microsoft Edge)の境界線の引き締めは、ランサムウェアを封じ込め、削除プロセスを迅速化するのに役立ちます。これらの改善により、マルウェアが顧客のシステムに追加のペイロードをサイレントにダウンロードして実行することもブロックされます。
- 改善されたSmartScreen(Improved SmartScreen)
そもそもブラウザベースのランサムウェアがユーザーに届かないようにするために、Microsoftは、 (Microsoft)Microsoft Intelligent Security Graphの一部であるソースからの幅広いデータセットを培養することにより、SmartScreenフィルターを拡張しました。安全でないWebサイトにつながる可能性のあるリンクを無意識のうちにクリックすると、Windows 10には、そのサイトが悪意のある可能性があることを通知する機能があります。
ランサムウェア攻撃者のもう1つの主要な配布チャネルは、電子メールの添付ファイルを介したものです。悪意のあるリンクを介して電子メールを送信し、脆弱なユーザーがクリックする可能性があります。Microsoftは、電子メールで配布されたマルウェアをキャッチするための機械学習モデルとヒューリスティックを高度化し、メールで(Microsoft)WindowsDefenderをより高速に更新するためのより高速な署名配信チャネルを開発したと主張しています。その結果、消費者と商用の両方の顧客の保護レベルが向上します。電子メールの添付ファイルを開くとき、または(when opening email attachments)Webリンクをクリックする(clicking on web links)前に取るべき注意事項を確認してください。
マイクロソフト(Microsoft)は、ブラウザーと電子メールサーバーのすべてのルーズエンドを保護するだけでなく、ランサムウェア防御のより厳しい実装への道を開く、より優れた、より効率的な機械学習も導入しました。改善された機械学習技術により、マルウェアを迅速に検出できます。マルウェアを検出、分析、削除するプロセス全体が、数分で完了するタスクになります。
読む(Read):ランサムウェア攻撃から保護し、防止し(Protect against and prevent Ransomware attacks)ます。
ランサムウェアの検出
Windows Defenderは、Windowsのデフォルトのセキュリティソフトウェアであり、XPの時代に日の目を見るようになりました。ソフトウェアはますます強力になっています。このアップデートでは、改善されたクラウド保護と自動サンプル送信機能を使用して新しい脅威に迅速に対応し、マルウェアが発見されたときにマルウェアをブロックできるようになりました。Windows Defenderの動作ヒューリスティックが改善され、ファイルがランサムウェア関連のアクティビティを実行しているかどうかを判断し、より迅速に検出してアクションを実行できるようになりました。また、企業ネットワークでのランサムウェア感染に対する防御にも役立ちます。
読む:(Read:) ランサムウェアの攻撃と保護。(Ransomware Attacks and Protection.)
取るべき行動
Windows Defenderを使用してランサムウェアが検出されたら、攻撃に取り組むときが来ました。Windows 10には、新しいWindows Defender Advanced Threat Protectionサービスが搭載されており、企業が他の保護方法を介して侵入した攻撃を検出して防止する機能が追加されています。Windows Defender ATPは、マシンから収集されたセキュリティイベントをクラウド分析と組み合わせて、攻撃の兆候を検出し、PCを遠ざけるのに役立ちます。
これとは別に、Microsoftは新機能「Blockat First Sight」も開始しています。これは、デフォルトでオンになっているクラウド保護サービスです。
つまり、これがWindows 11/10が導入した新機能の助けを借りて、ランサムウェア(Ransomware)からの保護を維持するのに役立つ方法です。
サイバー攻撃を完全に回避することはできませんが、Microsoftは、このような攻撃の影響を最小限に抑え、Windowsを常に保護することで将来を追求しています。
今読んでください:(Now read:) あなたのWindowsコンピュータへのランサムウェア攻撃の後に何をしますか?(What to do after a Ransomware attack on your Windows computer?)
Ransomware protection in Windows 11/10
Ransomware is proving to be a major challenge for computer users all over, including Microsoft when it comes to handling malware on Windows 11/10. In fact, the company claims that the variants of ransomware have more than doubled in the past 12 months. And while other kinds of viruses and trojans are short-term and extractable, Ransomware works on the premise of extorting funds in return for non-deletion of all your important files and documents. To add to that, methods and means attackers are using to perpetrate ransomware attacks are varied, complex and costly. Here is how Windows 11/10 deals with the threat of ransomware on your PC.
Ransomware protection in Windows 11/10
Windows has added new technology to increase protection against malware, including ransomware-related threats. Microsoft has made it so that it is extremely difficult for certain exploits to work when using Microsoft Edge, and enhanced URL reputation to better notify you about potentially unsafe websites. We increased the ability to block email attacks from ever reaching our consumer and commercial productivity suite customers. Microsoft has released Windows Defender ATP to make it easier for companies to investigate and respond to ransomware attacks, and more!
Read: How to enable and configure Ransomware Protection in Windows Defender.
RANSOMWARE PROTECTION IN WINDOWS 11/10
For protection against attackers causing ransomware, Windows 11/10 has some significant improvements for your computer. So you need to do the following things first to stay protected:
- Update to the latest Windows 11/10 version and switch to default settings.
- Keep your operating system and installed software updated with the latest versions.
- Manage your backup and restore strategy well.
Apply these protection measures in Windows 11/10 to make your network security stronger, says Microsoft:
- Randomize local administrator passwords using a tool such as LAPS.
- Apply Account Lockout Policy.
- Ensure good perimeter security by patching exposed systems.
Apply mitigating factors, such as MFA or vendor-supplied mitigation guidance, for vulnerabilities. - Utilize host firewalls to limit lateral movement.
- Prevent endpoints from communicating on TCP port 445 for SMB. This will have limited negative impact on most networks, but can significantly disrupt adversary activities.
- Turn on cloud-delivered protection for Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques.
- Turn on Tamper protection features to prevent attackers from stopping security services.
- Turn on attack surface reduction rules, including rules that can block ransomware activity:
- Use advanced protection against ransomware
- Block process creations originating from PsExec and WMI commands
- Block credential stealing from the Windows local security authority subsystem (lsass.exe)
Related reads:
RANSOMWARE PREVENTION
As seen last month, some malware attackers were using software like Adobe Flash to get into browsers and harm your computers. So, with the new update, Microsoft has updated Adobe Flash to work in an isolated container on the Microsoft Edge browser. The update also brings in a feature on Edge that doesn’t allow malware to leave the browser and affect other programs. This border tightening on Microsoft Edge will help contain the ransomware and fasten the removal process. These improvements also block malware from silently downloading and executing additional payloads on customers’ systems.
In order to do a better job of preventing browser-based ransomware from reaching users in the first place, Microsoft extended SmartScreen Filter by cultivating a broad set of data from sources that are part of the Microsoft Intelligent Security Graph. When you unwittingly click on a link that could lead to an unsafe website, Windows 10 has the ability to notify you that the site could be malicious.
Another major distribution channel for ransomware attackers is via email attachments. They can send across malicious links via emails, which are then clicked by vulnerable users. Microsoft claims to have advanced the machine learning models and heuristics to catch malware distributed in the email and developed a faster signature delivery channel to update the Windows Defender faster on mail. The result will be improved protection levels for both consumer and commercial customers. Take a look at the precautions to take when opening email attachments or before clicking on web links.
Apart from protecting all the loose ends on their browser and email servers, Microsoft has also introduced a better and more efficient Machine Learning that will pave the way for the tougher implementation of ransomware defense. The improved machine learning techniques can detect malware quickly. The entire process of detecting, analyzing, and then trying to remove malware becomes a task that is completed in minutes.
Read: Protect against and prevent Ransomware attacks.
RANSOMWARE DETECTION
Windows Defender has been Windows’ default security software, which saw the light of day during the XP times. The software has become tougher and stronger. The update can now respond to new threats faster using improved cloud protection and automatic sample submission features to block malware as and when they are spotted. Windows Defender’s behavioral heuristics have been improved to help determine if a file is performing ransomware-related activities, and then detect and take action more quickly. It also helps defend against Ransomware infections in Corporate Networks.
Read: Ransomware Attacks and Protection.
ACTION TO BE TAKEN
Once the ransomware has been detected with the help of Windows Defender, it is time to tackle the attack. Windows 10 brings with it the new Windows Defender Advanced Threat Protection service which adds the ability for companies to detect and prevent attacks that have made it through the other protection methods. Windows Defender ATP combines security events collected from the machines with cloud analytics to detect signs of attacks and help your PC stay away.
Apart from this, Microsoft is also initiating a new feature – ‘Block at First Sight‘ – which is a cloud protection service that has been turned on by default.
So this is how Windows 11/10 helps to keep you protected against Ransomware, with the help of new features that it introduces.
While cyber-attacks are never completely avoidable, Microsoft is pursuing a future with to minimize the impact of such attacks and keep Windows protected at all times.
Now read: What to do after a Ransomware attack on your Windows computer?