Перейти к содержанию
AM_Bot

Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

Recommended Posts

AM_Bot

2870(5).gif    К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Статья была обновлена. Спасибо VladimirSS за предложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Отличная статья, самая нужная в текущее время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

полезная статья

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Завтра, если успею решить дела, она снова будет обновлена. Спасибо коллегам с http://kltest.org.ru/index.php за полезные предложения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А можно ли средствами КИСа сделать следующее:

1). Запретить запуск всех программ кроме тех, которые он считает безопасными стопроцентно (т.е которые в белом списке, в доверенных)

2). Запретить наследование прав при запуске - доверенное приложение не может запустить что-то недоверенное

3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

4). Точно также чтобы спрашивал разрешение на запуск батников, рег-файлов, вбс и прочего

Т.е что бы на все эти четыре пункта КИС задавал вопросы. Т.е идея такая: чтобы на компе не смогло запуститься ничего вредоносного.

Предлагаю рассмотреть это. Кто знаком с настройками КИСа расскажите как это сделать. По-моему, неплохая защита получилась бы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hiss
А можно ли средствами КИСа сделать следующее:

1). Запретить запуск всех программ кроме тех, которые он считает безопасными стопроцентно (т.е которые в белом списке, в доверенных)

2). Запретить наследование прав при запуске - доверенное приложение не может запустить что-то недоверенное

3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

4). Точно также чтобы спрашивал разрешение на запуск батников, рег-файлов, вбс и прочего

Т.е что бы на все эти четыре пункта КИС задавал вопросы. Т.е идея такая: чтобы на компе не смогло запуститься ничего вредоносного.

Предлагаю рассмотреть это. Кто знаком с настройками КИСа расскажите как это сделать. По-моему, неплохая защита получилась бы :)

Установить запрет на запуск для всех групп приложений, кроме группы доверенные. Права доверенного недоверенное не получит, это реализовано. Это для пунктов 1,2,4.

С пунктом 3 дела хуже. Можно установить запрос на добавление в автозапуск для доверенных, больше ничего не получится. Если плохая программа как-то попала в автозапуск, то при загрузке системы КИС может не успеть ее поймать.

Нужно чтобы спрашивал а не запрещал, ставьте запрос, а не запрет. Если конкретно для батников и подобного, создавайте новый ресурс с масками расширений этих файлов и запросом при доступе к этому ресурсу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
3). Если что-то доверенное запишет что-то недоверенное в автозагрузку и оно попытается стартануть при загрузке системы - надо что бы КИС тоже спросил разрешения

Так недоверенное не стартанет же. Недоверенные не имеют прав на запуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Я оговорился. Под недоверенным я имел в виду то, чего нет в базе безопасных у КИСа. Т.е просто нечто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

priv8v

Т.е. "не доверенные" :) Но если читать твой п.1, то не доверенное = недоверенное, т.к. согласно настройкам будет пихаться именно в эту группу при попытке запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Но если читать твой п.1, то не доверенное = недоверенное, т.к. согласно настройкам будет пихаться именно в эту группу при попытке запуска.

я плохо знаком с тем что и в какую группу запихивает при разных настройках КИС. Именно поэтому я спрашивал в своих пунктах, а не утверждал :)

с учетом того, что я себе плохо представляю как вообще сделать такие настройки, то меня можно запутать словами "не доверенное" или его слитным написанием)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

priv8v

Группы: Доверенные, Слабые ограничения, Сильные ограничения, Недоверенные.

"Не доверенное", значит "не в группе Доверенные".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

Когда уж название темы-то поправите.

Новоиспечённое слово "Безсигнатурная" должно писаться "Бессигнатурная" согласно правилам русского языка. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Новоиспечённое слово "Безсигнатурная" должно писаться "Бессигнатурная" согласно правилам русского языка.

А в церковно-славянском правильно будет через "з" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Я в комментах к блогу написал, что поправлю название и в блоге, и тут после очередного обновления. А пока пусть оно меня раздражает и показывает всем, что я не был отличником по этой дисциплине в школе. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А пока пусть оно меня раздражает и показывает всем, что я не был отличником по этой дисциплине в школе.

Umnik

Как ты жесток к себе, аднака... :)

Я в комментах к блогу написал, что поправлю название и в блоге, и тут

На всякий случай, чтобы ты знал, :) в блоге фразу "«Безсигнатурная», гы-гы" написал не я. Там комментарии я вообще не читаю и не пишу. Предпочитаю оригинальное авторского изложение и ценю авторский труд, т.к. знаю всю его поднаготную.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Статья была обновлена.

1. Исправлена ошибка в заголовке :)

2. Добавлена защита HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot (kido и некоторые другие вредоносы вносят туда изменения)

3. Добавлена защита *\SOFTWARE\Policies

Чем еще мы можем помочь пользователям? Какие подводные камни нас ожидают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Какие подводные камни нас ожидают?

Буквально вчера у меня был второй случай за последнее время, когда для прыкрытия своей деятельности зловреды использовали WGA от Microsoft. Первый случай на чужом ПК с магазинной хомкой был хитрее. Хочешь по-простому избавиться от WGA-уведомления, экран гаснет (остаётся только курсор), а когда другим способом убираешь уведомление с корнем, перезагружаешь ПК, вылезает окно винлока с фейковым "Internet Security". Второй случай был на пиратке, но там стоял NOD32 SS, потому часть зловредов он изолировал, но WGA пропустил. Когда я просканировал ПК, то обнаружил остатки заражения, аналогичные первому, плюс ещё несколько зловредов из другой "оперы".

Получается, что мошенники нашли ещё одну лазейку, связанную с лицензионной политикой и уже спекулируют на ней. И им пофиг, что стоит на ПК - лицензионка или пиратка, главное для них - вызвать паралич ПК и получить деньги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Это не камень. :) Если бы работа WGA отвалилась, это был бы камень.

Исходя из твоего описания я... ничего не понял. Можешь пошагово сказать, что произошло, чтобы закрыть лазейку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
что произошло, чтобы закрыть лазейку?

М.б. нужно как-то контролировать WGA или то, что способствует проникновению и проверки подлинности.

Злоумышленники могут взыграть на этом. Чем проще акт социального инжиниринга, тем больше ПК в ступоре.

3. Добавлена защита *\SOFTWARE\Policies

Но, может быть ты это уже сделал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×