AM_Bot

Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

В этой теме 21 сообщений

2870(5).gif    К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Статья была обновлена. Спасибо VladimirSS за предложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отличная статья, самая нужная в текущее время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Завтра, если успею решить дела, она снова будет обновлена. Спасибо коллегам с http://kltest.org.ru/index.php за полезные предложения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А можно ли средствами КИСа сделать следующее:

1). Запретить запуск всех программ кроме тех, которые он считает безопасными стопроцентно (т.е которые в белом списке, в доверенных)

2). Запретить наследование прав при запуске - доверенное приложение не может запустить что-то недоверенное

3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

4). Точно также чтобы спрашивал разрешение на запуск батников, рег-файлов, вбс и прочего

Т.е что бы на все эти четыре пункта КИС задавал вопросы. Т.е идея такая: чтобы на компе не смогло запуститься ничего вредоносного.

Предлагаю рассмотреть это. Кто знаком с настройками КИСа расскажите как это сделать. По-моему, неплохая защита получилась бы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А можно ли средствами КИСа сделать следующее:

1). Запретить запуск всех программ кроме тех, которые он считает безопасными стопроцентно (т.е которые в белом списке, в доверенных)

2). Запретить наследование прав при запуске - доверенное приложение не может запустить что-то недоверенное

3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

4). Точно также чтобы спрашивал разрешение на запуск батников, рег-файлов, вбс и прочего

Т.е что бы на все эти четыре пункта КИС задавал вопросы. Т.е идея такая: чтобы на компе не смогло запуститься ничего вредоносного.

Предлагаю рассмотреть это. Кто знаком с настройками КИСа расскажите как это сделать. По-моему, неплохая защита получилась бы :)

Установить запрет на запуск для всех групп приложений, кроме группы доверенные. Права доверенного недоверенное не получит, это реализовано. Это для пунктов 1,2,4.

С пунктом 3 дела хуже. Можно установить запрос на добавление в автозапуск для доверенных, больше ничего не получится. Если плохая программа как-то попала в автозапуск, то при загрузке системы КИС может не успеть ее поймать.

Нужно чтобы спрашивал а не запрещал, ставьте запрос, а не запрет. Если конкретно для батников и подобного, создавайте новый ресурс с масками расширений этих файлов и запросом при доступе к этому ресурсу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

Так недоверенное не стартанет же. Недоверенные не имеют прав на запуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я оговорился. Под недоверенным я имел в виду то, чего нет в базе безопасных у КИСа. Т.е просто нечто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

priv8v

Т.е. "не доверенные" :) Но если читать твой п.1, то не доверенное = недоверенное, т.к. согласно настройкам будет пихаться именно в эту группу при попытке запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но если читать твой п.1, то не доверенное = недоверенное, т.к. согласно настройкам будет пихаться именно в эту группу при попытке запуска.

я плохо знаком с тем что и в какую группу запихивает при разных настройках КИС. Именно поэтому я спрашивал в своих пунктах, а не утверждал :)

с учетом того, что я себе плохо представляю как вообще сделать такие настройки, то меня можно запутать словами "не доверенное" или его слитным написанием)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

priv8v

Группы: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

"Не доверенное", значит "не в группе Доверенные".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

Когда уж название темы-то поправите.

Новоиспечённое слово "Безсигнатурная" должно писаться "Бессигнатурная" согласно правилам русского языка. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Новоиспечённое слово "Безсигнатурная" должно писаться "Бессигнатурная" согласно правилам русского языка.

А в церковно-славянском правильно будет через "з" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей-001

Я в комментах к блогу написал, что поправлю название и в блоге, и тут после очередного обновления. А пока пусть оно меня раздражает и показывает всем, что я не был отличником по этой дисциплине в школе. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А пока пусть оно меня раздражает и показывает всем, что я не был отличником по этой дисциплине в школе.

Umnik

Как ты жесток к себе, аднака... :)

Я в комментах к блогу написал, что поправлю название и в блоге, и тут

На всякий случай, чтобы ты знал, :) в блоге фразу "«Безсигнатурная», гы-гы" написал не я. Там комментарии я вообще не читаю и не пишу. Предпочитаю оригинальное авторского изложение и ценю авторский труд, т.к. знаю всю его поднаготную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Статья была обновлена.

1. Исправлена ошибка в заголовке :)

2. Добавлена защита HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot (kido и некоторые другие вредоносы вносят туда изменения)

3. Добавлена защита *\SOFTWARE\Policies

Чем еще мы можем помочь пользователям? Какие подводные камни нас ожидают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Какие подводные камни нас ожидают?

Буквально вчера у меня был второй случай за последнее время, когда для прыкрытия своей деятельности зловреды использовали WGA от Microsoft. Первый случай на чужом ПК с магазинной хомкой был хитрее. Хочешь по-простому избавиться от WGA-уведомления, экран гаснет (остаётся только курсор), а когда другим способом убираешь уведомление с корнем, перезагружаешь ПК, вылезает окно винлока с фейковым "Internet Security". Второй случай был на пиратке, но там стоял NOD32 SS, потому часть зловредов он изолировал, но WGA пропустил. Когда я просканировал ПК, то обнаружил остатки заражения, аналогичные первому, плюс ещё несколько зловредов из другой "оперы".

Получается, что мошенники нашли ещё одну лазейку, связанную с лицензионной политикой и уже спекулируют на ней. И им пофиг, что стоит на ПК - лицензионка или пиратка, главное для них - вызвать паралич ПК и получить деньги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей-001

Это не камень. :) Если бы работа WGA отвалилась, это был бы камень.

Исходя из твоего описания я... ничего не понял. Можешь пошагово сказать, что произошло, чтобы закрыть лазейку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что произошло, чтобы закрыть лазейку?

М.б. нужно как-то контролировать WGA или то, что способствует проникновению и проверки подлинности.

Злоумышленники могут взыграть на этом. Чем проще акт социального инжиниринга, тем больше ПК в ступоре.

3. Добавлена защита *\SOFTWARE\Policies

Но, может быть ты это уже сделал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS