Безсигнатурная защита от Trojan-Ransom
+5
Безсигнатурная защита от Trojan-Ransom

Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010
защищаемся от заразы своими руками

Настройка - Контроль программ. Нажимаем кнопку "Настройка". На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра", как показано на изображении.
Безсигнатурная защита от Trojan-Ransom

В появившемся окне вводим название правила. Можно исполльзовать "WinLock.Shell" для защиты Winlogonshell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 4 места и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:

1. В поле "Ключ": *SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon В поле "Значение": Shell

2. В поле "Ключ": *SOFTWAREMicrosoftWindows NTCurrentVersionWindows В поле "Значение": AppInit_DLLs

3. В поле "Ключ": *SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon В поле "Значение": Userinit

4. В поле "Ключ": *SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options*

5. В поле "Ключ": *SoftwarePoliciesMicrosoftWindowsSaferCodeIdentifiersPaths*

Пути нужно писать так, как написано. Каждый путь добавляется отдельно. Вот как это выглядит в конечном счете:
Безсигнатурная защита от Trojan-Ransom

Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пункте 4 после * его нет.
Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...". В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно. Вот что получается в итоге:
Безсигнатурная защита от Trojan-Ransom

Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).
Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:

* Параметры безопасности Internet Explorer

* Зоны Internet Explorer

* Параметры встроенного фаервола

* Ветку политик

* ...и прочее

Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности". А вот что входит в "Параметры безопасности":
Безсигнатурная защита от Trojan-Ransom

После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.


Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Russian Federation  Комментарий #1, добавлен: 2 февраля 2010, 12:52 [2] [Q] [#]
0
Ещё вчера настроил. Как я понял эта статья взята с anti-malware

Russian Federation  Комментарий #2, добавлен: 2 февраля 2010, 17:14 [2] [Q] [#]
0
Внимание! У Вас нет прав для просмотра скрытого текста.
оф. источник
можно добавить *\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\* туда любят засовывать вирусы, чтоб кис не запускался.


Russian Federation  Комментарий #3, добавлен: 2 февраля 2010, 19:18 [2] [Q] [#]
0
познавательно good

Russian Federation  Комментарий #4, добавлен: 2 февраля 2010, 20:46 [2] [Q] [#]
0
Я с форума каспеского скачал файл ключа реестра какраз по этой теме,если уже поймал эту дрянь,то он не поможет,а для профилактики оно в тему и не даст запуститься этой заразе в будущем.

Ukraine  Комментарий #5, добавлен: 2 февраля 2010, 21:52 [2] [Q] [#]
0
да у меня уже была такая дрянь я еле убрал ее ввел на бум пароль там помоему десять нулей или около того непомню точно ) а статейка действительно полезна тем кто еще не встречался с подобными шутками !! am

Russian Federation  Комментарий #6, добавлен: 2 февраля 2010, 22:02 [2] [Q] [#]
0
дрянь[i] am

Russian Federation  Комментарий #7, добавлен: 2 февраля 2010, 22:12 [2] [Q] [#]
0
Внимание! У Вас нет прав для просмотра скрытого текста.


Russian Federation  Комментарий #8, добавлен: 3 февраля 2010, 09:09 [2] [Q] [#]
0
спасибо, у меня у драга что то подобное вылезло однажды, пришлось ему по телефону код разблокировки диктовать:)

Russian Federation  Комментарий #9, добавлен: 11 февраля 2010, 14:58 [2] [Q] [#]
0
Задолбали эти хакеры, что б им в аду гореть

Ukraine  Комментарий #10, добавлен: 20 февраля 2010, 22:14 [2] [Q] [#]
0
Перешол на винду 7 тепрь шарю реест в поисках етих параметров))))

Russian Federation  Комментарий #11, добавлен: 7 марта 2010, 19:02 [2] [Q] [#]
0
Прикольная весчь, мне вот тока интересно, неужели наши борцы с вирусами (Каспер, Др.ВЭБ) не в курсах об этих способах привентивной защиты системы?
тут есть два пути развития мысли: либо ом просто заподло - вот так вот вручную бороться и они хотят все это засунуть в свои антивирусники и потом с умным видом срубить бабла или... они всем им просто очень выгодна вся эта ситуация. Как говорится и волки (хацкеры срубающие бало на смсках, бравые сёрверы "лечащие" (типа) компы за 7 сотен деревяных, антирусные лаборатории чья продукция разлетается как горячие пирожки) сыты и овцы целы - иныа-то по большому счету не страдает, тока немного неудобств и как яркий флажок: либо лузер, либо порнуху пытался просмотреть smile Поэтому респект нормальным людям, которые помогают через просвещение юзерам защищать свое родное!

Оставить комментарий / Добавление ссылок в комментариях разрешено