Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

[strat]

Беcсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

 

Читайте или по ссылке или в приложенном файле, дел всего на 5 минут

 

К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

 

 

Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).

 

п.с. Можно давать ссылку юзерам из раздела борьбы с вирусами типа "если больше не хотите проблем с Winlock, то поставьте Kis2010 и выполните данную инструкцию.@

Сообщение от модератора Jen94

Закреплено

Бессигнатурная_защита_от_Trojan_Ransom__WinLock__средствами_KIS_2010.zip

Изменено 10 февраля, 2010 пользователем Jen94
файл обновлен

[apq]

Ладно, и каким образом добавить ключ реестра? Куда нажать?

внизу пункт "добавить"

[Mark D. Pearlstone]

Ну, не верите - не надо. Пытаться доказывать не собираюсь...

Я сравниваю со своим скином, у вас и окно скина синее и стрелки другие.

Ладно, и каким образом добавить ключ реестра? Куда нажать?

В появившемся окне на втором скрине вводите в название WinLock.Shell, жмёте в строке Путь Обзор и делаете далее по пунктам с сайт анти-малваре.

внизу пункт "добавить"

Вы снова не внимательны. Именно при нажатии на кнопку Добавить должно появляться подменю, которого у Urotsuki нету. О каком тогда вы говорили, не понятно.

Изменено 30 января, 2010 пользователем Mark D. Pearlstone

[Urotsuki]

Восстановление не помогло.

Я сравниваю со своим скином, у вас и окно скина синее и стрелки другие.

Ну, может дело в качестве jpeg и в разных системах

В появившемся окне на втором скине вводите в название WinLock.Shell, жмёте в строке Путь Обзор и делаете далее по пунктам с сайт анти-малваре.

В том окне во вкладке Персональные данные, которое появляется при нажатии на Добавить, можно выбрать только объект из проводника, но не ключ реестра. Вот во вкладке Операционная система подменю есть, и можно выбрать ключ реестра в нём. Короче, добавил туда эти ключи, в категорию Параметры безопасности (хотя, наверное, нет особой разницы в какую). Ну а для прог с ограничениями всё равно стоит запрос на запуск и на действия с персональными данными.

[Ceipro]

Ни разу не ловил эту гадость, но как говорят береженого Бог бережет, потому настроил и у себя.

[apq]

Ceipro, правильно сделали, сейчас практичнски эпидемия WinLock'ов, так что доп защита очень уместна

[vpv]

Еще бы это дело как-нибудь автоматизировать..... А то столько машин надо вручную перенастроить. Штук наверное 15-20 у всяких знакомых-родственников.

PS Эту статейку бы в базу знаний поддержки ЛК

[_Strannik_]

То ж настроил.посмотрим что получится...

[Urotsuki]

Восстановление не помогло.

Помогло полное удаление и установка заново - подменю появилось. Есть подозрение, что исчезло оно из-за скинов с расширенным функционалом, надо будет проверить (но только на виртуалке )... А вот во вкладке Операционная система подменю теперь появляется не всегда...

[Мирный Атом]

Сделал,так как один раз эта зараза неизвестная попала мне на комп!Сделал даже при нестандартном скине!

[Денис-НН]

А почитав вот эту тему http://forum.kaspersky.com/index.php?showtopic=150598

я добавил ресурс D:\Documents\* и запретил доступ для всяких ограниченных.

И заодно, хранилище паролей для оперы. Путь именно такой, нестандартный, потому что там лежат все документы, для всех пользователей. На других компьютерах - путь другой!

 

Можно по умолчанию %USERPROFILE%\Мои документы\*

[Mark D. Pearlstone]

Помогло полное удаление и установка заново - подменю появилось. Есть подозрение, что исчезло оно из-за скинов с расширенным функционалом, надо будет проверить (но только на виртуалке )... А вот во вкладке Операционная система подменю теперь появляется не всегда...

А можете теперь скриншот того окна скинуть для сравнения?

[Umnik]

Спасибо за интерес к моей статье.

1. Исправьте ошибку в заголовке. Я писал статью в плохом настроении, чтобы отвлечься от проблем. И пропустил глупую ошибку в заголовке. Я исправлю ее на АМ и на других ресурсах, а здесь прошу сделать это модераторов: приставка "бес-"

Сообщение от модератора C. Tantin

Исполнено

2. Статья обновляется. Не знаю, имеется ли в этой копии (в первом посте) о защите ветки политик. Защита запретит вредоносу отключать редактор реестра, Диспетчер задач и прочее. На АМ это уже есть и сегодня будет еще одно обновление.

3. Urotsuki адекватную работу при/после использования альтернативных скинов ЛК не гарантирует. Потому я принципиально не ставлю их.

4. "Еще бы это дело как-нибудь автоматизировать". Я думал об этом, но не знаю, как это сделать. То есть можно, конечно, использовать Экспорт/Импорт конфигурации, но это не совсем то.

5. "PS Эту статейку бы в базу знаний поддержки ЛК". Сначала было слово. И слово было: "Привет, Леш. У меня есть предложение о защите от локеров уже имеющимися у нас средствами ... общее описание на словах ..." - "Отлично. Напиши предложение ххх, ууу, ззз, йййй, в копию ккк, ввв, ппп и мне". Разослал письмо и через 20 минут получил от писателей базы знаний вопросы. То есть статья для нашей базы знаний также пишется на основе моих предложений.

6. Денис-НН, я думал о защите документов, но отказался. Дело в том, что слишком много программ из группы "Слабые ограничения" имеют диалог Open/Save, который по дефолту открывается именно в Моих документах.

[Денис-НН]

Umnik

Согласен, могут возникнуть проблемы. Всем такое советовать не стоит. Но у меня нет полудоверенных программ - или доверять, или в топку. Особенно на работе. Блокираторы винды меня мало пугают, при работе с правами пользователя реестр и так прикрыт. Вреда они не наносят, максимум - нервы и потерянное время. Но это личное отношение.

 

А насчёт автоматизации -может можно базами такое добавить, или патчем? Полезно очень.

Изменено 31 января, 2010 пользователем Денис-НН

[strat]

Исправьте ошибку в заголовке.

Исправил в 1-м посте но не в заголовке темы, приложенный файл не стл переименовывать.

 

Не знаю, имеется ли в этой копии (в первом посте) о защите ветки политик.

если этот пункт то присутствует, ниже цитата из статьи

В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности"

Насчет автоматизации - мне приходит в голову только одно, автоматизация через скрипт Sign of Misery или AutoIt, естественно предварительно надо будет в доверенные добавлять. Я попробую сделать на SoM.

[Ummitium]

Не забывайте про ручной режим + запрос на запуск всем кроме Доверенных.