Перейти к содержанию
AM_Bot

Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

Recommended Posts

AM_Bot

2870(5).gif    К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Статья была обновлена. Спасибо VladimirSS за предложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Отличная статья, самая нужная в текущее время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

полезная статья

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Завтра, если успею решить дела, она снова будет обновлена. Спасибо коллегам с http://kltest.org.ru/index.php за полезные предложения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А можно ли средствами КИСа сделать следующее:

1). Запретить запуск всех программ кроме тех, которые он считает безопасными стопроцентно (т.е которые в белом списке, в доверенных)

2). Запретить наследование прав при запуске - доверенное приложение не может запустить что-то недоверенное

3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

4). Точно также чтобы спрашивал разрешение на запуск батников, рег-файлов, вбс и прочего

Т.е что бы на все эти четыре пункта КИС задавал вопросы. Т.е идея такая: чтобы на компе не смогло запуститься ничего вредоносного.

Предлагаю рассмотреть это. Кто знаком с настройками КИСа расскажите как это сделать. По-моему, неплохая защита получилась бы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hiss
А можно ли средствами КИСа сделать следующее:

1). Запретить запуск всех программ кроме тех, которые он считает безопасными стопроцентно (т.е которые в белом списке, в доверенных)

2). Запретить наследование прав при запуске - доверенное приложение не может запустить что-то недоверенное

3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

4). Точно также чтобы спрашивал разрешение на запуск батников, рег-файлов, вбс и прочего

Т.е что бы на все эти четыре пункта КИС задавал вопросы. Т.е идея такая: чтобы на компе не смогло запуститься ничего вредоносного.

Предлагаю рассмотреть это. Кто знаком с настройками КИСа расскажите как это сделать. По-моему, неплохая защита получилась бы :)

Установить запрет на запуск для всех групп приложений, кроме группы доверенные. Права доверенного недоверенное не получит, это реализовано. Это для пунктов 1,2,4.

С пунктом 3 дела хуже. Можно установить запрос на добавление в автозапуск для доверенных, больше ничего не получится. Если плохая программа как-то попала в автозапуск, то при загрузке системы КИС может не успеть ее поймать.

Нужно чтобы спрашивал а не запрещал, ставьте запрос, а не запрет. Если конкретно для батников и подобного, создавайте новый ресурс с масками расширений этих файлов и запросом при доступе к этому ресурсу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

Так недоверенное не стартанет же. Недоверенные не имеют прав на запуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Я оговорился. Под недоверенным я имел в виду то, чего нет в базе безопасных у КИСа. Т.е просто нечто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

priv8v

Т.е. "не доверенные" :) Но если читать твой п.1, то не доверенное = недоверенное, т.к. согласно настройкам будет пихаться именно в эту группу при попытке запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Но если читать твой п.1, то не доверенное = недоверенное, т.к. согласно настройкам будет пихаться именно в эту группу при попытке запуска.

я плохо знаком с тем что и в какую группу запихивает при разных настройках КИС. Именно поэтому я спрашивал в своих пунктах, а не утверждал :)

с учетом того, что я себе плохо представляю как вообще сделать такие настройки, то меня можно запутать словами "не доверенное" или его слитным написанием)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

priv8v

Группы: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

"Не доверенное", значит "не в группе Доверенные".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

Когда уж название темы-то поправите.

Новоиспечённое слово "Безсигнатурная" должно писаться "Бессигнатурная" согласно правилам русского языка. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Новоиспечённое слово "Безсигнатурная" должно писаться "Бессигнатурная" согласно правилам русского языка.

А в церковно-славянском правильно будет через "з" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Я в комментах к блогу написал, что поправлю название и в блоге, и тут после очередного обновления. А пока пусть оно меня раздражает и показывает всем, что я не был отличником по этой дисциплине в школе. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А пока пусть оно меня раздражает и показывает всем, что я не был отличником по этой дисциплине в школе.

Umnik

Как ты жесток к себе, аднака... :)

Я в комментах к блогу написал, что поправлю название и в блоге, и тут

На всякий случай, чтобы ты знал, :) в блоге фразу "«Безсигнатурная», гы-гы" написал не я. Там комментарии я вообще не читаю и не пишу. Предпочитаю оригинальное авторского изложение и ценю авторский труд, т.к. знаю всю его поднаготную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Статья была обновлена.

1. Исправлена ошибка в заголовке :)

2. Добавлена защита HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot (kido и некоторые другие вредоносы вносят туда изменения)

3. Добавлена защита *\SOFTWARE\Policies

Чем еще мы можем помочь пользователям? Какие подводные камни нас ожидают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Какие подводные камни нас ожидают?

Буквально вчера у меня был второй случай за последнее время, когда для прыкрытия своей деятельности зловреды использовали WGA от Microsoft. Первый случай на чужом ПК с магазинной хомкой был хитрее. Хочешь по-простому избавиться от WGA-уведомления, экран гаснет (остаётся только курсор), а когда другим способом убираешь уведомление с корнем, перезагружаешь ПК, вылезает окно винлока с фейковым "Internet Security". Второй случай был на пиратке, но там стоял NOD32 SS, потому часть зловредов он изолировал, но WGA пропустил. Когда я просканировал ПК, то обнаружил остатки заражения, аналогичные первому, плюс ещё несколько зловредов из другой "оперы".

Получается, что мошенники нашли ещё одну лазейку, связанную с лицензионной политикой и уже спекулируют на ней. И им пофиг, что стоит на ПК - лицензионка или пиратка, главное для них - вызвать паралич ПК и получить деньги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Это не камень. :) Если бы работа WGA отвалилась, это был бы камень.

Исходя из твоего описания я... ничего не понял. Можешь пошагово сказать, что произошло, чтобы закрыть лазейку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
что произошло, чтобы закрыть лазейку?

М.б. нужно как-то контролировать WGA или то, что способствует проникновению и проверки подлинности.

Злоумышленники могут взыграть на этом. Чем проще акт социального инжиниринга, тем больше ПК в ступоре.

3. Добавлена защита *\SOFTWARE\Policies

Но, может быть ты это уже сделал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Mawa27
      Я пользуюсь услугами вот этих ребят https://prohoster.info.Они предоставляют комплексные услуги по созданию сайтов и их обслуживанию, начиная от выбора доменного имени, заканчивая доп. услугами для его защиты от вирусных атак.
    • Sawa26
      Ребят,где приобрести надежный хостинг?
    • Alexey Markov
      Настоящий тест файерволов - это когда вы пытаетесь зайти на сайт со взрослым контентом, к примеру, казино https://slots-doc.com/ . Вот тут-то наступает момент истины.  Брандмаузер должен быть настроен так, чтобы позволить  программному обеспечению подключаться к серверу. Вопрос - как настраивать? Внутри панели управления брандмауэра как праивло есть список программ и разрешений для каждого файла программы. Эти разрешения устанавливаются по умолчанию при первом запуске нашей программы под брандмауэром. Он спросит вас, что делать, и если вы нажмете ОК и примете их рекомендацию, программа будет заблокирована. Чтобы исправить это, вам нужно найти этот список программ и установить их разрешения, выбрав «Разрешить все» или эквивалент неограниченного доступа. Это будет что-то похожее на процесс ниже, хотя расположение будет отличаться в каждом брандмауэре. Откройте панель управления брандмауэром (часто дважды щелкните значок брандмауэра возле системных часов Windows или найдите в меню «Пуск»).
      Нажмите на вкладку «Программы» (или иным образом найдите список программ).
      В списке программ вы увидите следующие пункты. Для каждого из них достаточно изменить «Блокировать все» на «Разрешить все» (или использовать наименее ограничивающие разрешения), чтобы вы могли получить доступ к сайту. Инструкции могут различаться, и для получения дополнительной помощи вам следует обратиться к поставщику программного обеспечения брандмауэра.
    • Lavrans
      Могу еще Мелбет букмекера порекомендовать 
      Я на него полный обзор на https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html имею 
      Действительно,  честная компания,  которая всегда идет на встречу своим клиентам. В любых  непонятных  ситуациях сразу же обращаюсь в службу поддержки,  они оперативно реагируют на заявки
    • MarijyaFrolova
      Играешь за тётку ангела или типо того, по мере прохождения получаешь/апгрейдишь крылья. Дерешься мечем, можно летать вроде. Присутствуют элементы головоломок, типо в принце Персии, но это не точно. Геймплей не особо длинный часов может на 6-10. По месту действия вспоминаются перемещения по парящим островкам не большим.Может, кто знает название игры?
×