AM_Bot

Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

В этой теме 21 сообщений

2870(5).gif    К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

читать дальше

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Статья была обновлена. Спасибо VladimirSS за предложения.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отличная статья, самая нужная в текущее время.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Завтра, если успею решить дела, она снова будет обновлена. Спасибо коллегам с http://kltest.org.ru/index.php за полезные предложения.

1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А можно ли средствами КИСа сделать следующее:

1). Запретить запуск всех программ кроме тех, которые он считает безопасными стопроцентно (т.е которые в белом списке, в доверенных)

2). Запретить наследование прав при запуске - доверенное приложение не может запустить что-то недоверенное

3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

4). Точно также чтобы спрашивал разрешение на запуск батников, рег-файлов, вбс и прочего

Т.е что бы на все эти четыре пункта КИС задавал вопросы. Т.е идея такая: чтобы на компе не смогло запуститься ничего вредоносного.

Предлагаю рассмотреть это. Кто знаком с настройками КИСа расскажите как это сделать. По-моему, неплохая защита получилась бы :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А можно ли средствами КИСа сделать следующее:

1). Запретить запуск всех программ кроме тех, которые он считает безопасными стопроцентно (т.е которые в белом списке, в доверенных)

2). Запретить наследование прав при запуске - доверенное приложение не может запустить что-то недоверенное

3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

4). Точно также чтобы спрашивал разрешение на запуск батников, рег-файлов, вбс и прочего

Т.е что бы на все эти четыре пункта КИС задавал вопросы. Т.е идея такая: чтобы на компе не смогло запуститься ничего вредоносного.

Предлагаю рассмотреть это. Кто знаком с настройками КИСа расскажите как это сделать. По-моему, неплохая защита получилась бы :)

Установить запрет на запуск для всех групп приложений, кроме группы доверенные. Права доверенного недоверенное не получит, это реализовано. Это для пунктов 1,2,4.

С пунктом 3 дела хуже. Можно установить запрос на добавление в автозапуск для доверенных, больше ничего не получится. Если плохая программа как-то попала в автозапуск, то при загрузке системы КИС может не успеть ее поймать.

Нужно чтобы спрашивал а не запрещал, ставьте запрос, а не запрет. Если конкретно для батников и подобного, создавайте новый ресурс с масками расширений этих файлов и запросом при доступе к этому ресурсу.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

Так недоверенное не стартанет же. Недоверенные не имеют прав на запуск.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я оговорился. Под недоверенным я имел в виду то, чего нет в базе безопасных у КИСа. Т.е просто нечто.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

priv8v

Т.е. "не доверенные" :) Но если читать твой п.1, то не доверенное = недоверенное, т.к. согласно настройкам будет пихаться именно в эту группу при попытке запуска.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но если читать твой п.1, то не доверенное = недоверенное, т.к. согласно настройкам будет пихаться именно в эту группу при попытке запуска.

я плохо знаком с тем что и в какую группу запихивает при разных настройках КИС. Именно поэтому я спрашивал в своих пунктах, а не утверждал :)

с учетом того, что я себе плохо представляю как вообще сделать такие настройки, то меня можно запутать словами "не доверенное" или его слитным написанием)))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

priv8v

Группы: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

"Не доверенное", значит "не в группе Доверенные".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

Когда уж название темы-то поправите.

Новоиспечённое слово "Безсигнатурная" должно писаться "Бессигнатурная" согласно правилам русского языка. :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Новоиспечённое слово "Безсигнатурная" должно писаться "Бессигнатурная" согласно правилам русского языка.

А в церковно-славянском правильно будет через "з" :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей-001

Я в комментах к блогу написал, что поправлю название и в блоге, и тут после очередного обновления. А пока пусть оно меня раздражает и показывает всем, что я не был отличником по этой дисциплине в школе. :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А пока пусть оно меня раздражает и показывает всем, что я не был отличником по этой дисциплине в школе.

Umnik

Как ты жесток к себе, аднака... :)

Я в комментах к блогу написал, что поправлю название и в блоге, и тут

На всякий случай, чтобы ты знал, :) в блоге фразу "«Безсигнатурная», гы-гы" написал не я. Там комментарии я вообще не читаю и не пишу. Предпочитаю оригинальное авторского изложение и ценю авторский труд, т.к. знаю всю его поднаготную.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Статья была обновлена.

1. Исправлена ошибка в заголовке :)

2. Добавлена защита HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot (kido и некоторые другие вредоносы вносят туда изменения)

3. Добавлена защита *\SOFTWARE\Policies

Чем еще мы можем помочь пользователям? Какие подводные камни нас ожидают?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какие подводные камни нас ожидают?

Буквально вчера у меня был второй случай за последнее время, когда для прыкрытия своей деятельности зловреды использовали WGA от Microsoft. Первый случай на чужом ПК с магазинной хомкой был хитрее. Хочешь по-простому избавиться от WGA-уведомления, экран гаснет (остаётся только курсор), а когда другим способом убираешь уведомление с корнем, перезагружаешь ПК, вылезает окно винлока с фейковым "Internet Security". Второй случай был на пиратке, но там стоял NOD32 SS, потому часть зловредов он изолировал, но WGA пропустил. Когда я просканировал ПК, то обнаружил остатки заражения, аналогичные первому, плюс ещё несколько зловредов из другой "оперы".

Получается, что мошенники нашли ещё одну лазейку, связанную с лицензионной политикой и уже спекулируют на ней. И им пофиг, что стоит на ПК - лицензионка или пиратка, главное для них - вызвать паралич ПК и получить деньги.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей-001

Это не камень. :) Если бы работа WGA отвалилась, это был бы камень.

Исходя из твоего описания я... ничего не понял. Можешь пошагово сказать, что произошло, чтобы закрыть лазейку?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что произошло, чтобы закрыть лазейку?

М.б. нужно как-то контролировать WGA или то, что способствует проникновению и проверки подлинности.

Злоумышленники могут взыграть на этом. Чем проще акт социального инжиниринга, тем больше ПК в ступоре.

3. Добавлена защита *\SOFTWARE\Policies

Но, может быть ты это уже сделал?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      В программе:   BCUninstaller http://soft.oszone.net/program/17561/Bulk_Crap_Uninstaller/ Есть такие интересные параметры:   <InstallLocation>C:\Program Files\Realtek\Audio\Drivers</InstallLocation>
        <InstallSource>C:\DOCUME~1\!User!\LOCALS~1\Temp\pft5~tmp</InstallSource> т.е. путь откуда была установлена программа\компонент. Защищена программа: Да\нет. Путь до файлов. Зарегистрирован, или нет. Указан издатель\производитель\ЭЦП Сайт программы. Обновлялся компонент\программа, или нет. Возможность посмотреть доп. ( Инфо. ) по каждой программе. Кроме того можно _переименовать установленную программу. ( что будет важно для администраторов ) --------- Это всё бы очень пригодилось.    
    • AM_Bot
      Исследователи ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. В настоящее время заражено около 500 000 компьютеров, в числе жертв преобладают пользователи из России (46%) и Украины (33%). Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Читать далее
    • AM_Bot
      Отчет Cisco по информационной безопасности за первое полугодие 2017 г. указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. Читать далее
    • AM_Bot
      Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил занимательную уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2. Читать далее
    • AM_Bot
      По данным Аналитического центра InfoWatch в 2016 году 93% утечек информации в мире были связаны с компрометацией персональных данных (ПДн) и платежной информации. Всего за 2016 год в мире было скомпрометировано более трех миллиардов записей ПДн — в три раза больше, чем годом ранее.  Читать далее