strat Опубликовано 30 января, 2010 Поделиться Опубликовано 30 января, 2010 (изменено) Беcсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010 Читайте или по ссылке или в приложенном файле, дел всего на 5 минут К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением. Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS). п.с. Можно давать ссылку юзерам из раздела борьбы с вирусами типа "если больше не хотите проблем с Winlock, то поставьте Kis2010 и выполните данную инструкцию.@ Сообщение от модератора Jen94 Закреплено Бессигнатурная_защита_от_Trojan_Ransom__WinLock__средствами_KIS_2010.zip Изменено 10 февраля, 2010 пользователем Jen94 файл обновлен 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
apq Опубликовано 30 января, 2010 Поделиться Опубликовано 30 января, 2010 Ладно, и каким образом добавить ключ реестра? Куда нажать?внизу пункт "добавить" Ссылка на комментарий Поделиться на другие сайты Поделиться
Mark D. Pearlstone Опубликовано 30 января, 2010 Поделиться Опубликовано 30 января, 2010 (изменено) Ну, не верите - не надо. Пытаться доказывать не собираюсь... Я сравниваю со своим скином, у вас и окно скина синее и стрелки другие. Ладно, и каким образом добавить ключ реестра? Куда нажать? В появившемся окне на втором скрине вводите в название WinLock.Shell, жмёте в строке Путь Обзор и делаете далее по пунктам с сайт анти-малваре. внизу пункт "добавить" Вы снова не внимательны. Именно при нажатии на кнопку Добавить должно появляться подменю, которого у Urotsuki нету. О каком тогда вы говорили, не понятно. Изменено 30 января, 2010 пользователем Mark D. Pearlstone Ссылка на комментарий Поделиться на другие сайты Поделиться
Urotsuki Опубликовано 30 января, 2010 Поделиться Опубликовано 30 января, 2010 Восстановление не помогло. Я сравниваю со своим скином, у вас и окно скина синее и стрелки другие. Ну, может дело в качестве jpeg и в разных системах В появившемся окне на втором скине вводите в название WinLock.Shell, жмёте в строке Путь Обзор и делаете далее по пунктам с сайт анти-малваре. В том окне во вкладке Персональные данные, которое появляется при нажатии на Добавить, можно выбрать только объект из проводника, но не ключ реестра. Вот во вкладке Операционная система подменю есть, и можно выбрать ключ реестра в нём. Короче, добавил туда эти ключи, в категорию Параметры безопасности (хотя, наверное, нет особой разницы в какую). Ну а для прог с ограничениями всё равно стоит запрос на запуск и на действия с персональными данными. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ceipro Опубликовано 30 января, 2010 Поделиться Опубликовано 30 января, 2010 Ни разу не ловил эту гадость, но как говорят береженого Бог бережет, потому настроил и у себя. Ссылка на комментарий Поделиться на другие сайты Поделиться
apq Опубликовано 30 января, 2010 Поделиться Опубликовано 30 января, 2010 Ceipro, правильно сделали, сейчас практичнски эпидемия WinLock'ов, так что доп защита очень уместна Ссылка на комментарий Поделиться на другие сайты Поделиться
vpv Опубликовано 30 января, 2010 Поделиться Опубликовано 30 января, 2010 Еще бы это дело как-нибудь автоматизировать..... А то столько машин надо вручную перенастроить. Штук наверное 15-20 у всяких знакомых-родственников. PS Эту статейку бы в базу знаний поддержки ЛК Ссылка на комментарий Поделиться на другие сайты Поделиться
_Strannik_ Опубликовано 30 января, 2010 Поделиться Опубликовано 30 января, 2010 То ж настроил.посмотрим что получится... Ссылка на комментарий Поделиться на другие сайты Поделиться
Urotsuki Опубликовано 31 января, 2010 Поделиться Опубликовано 31 января, 2010 Восстановление не помогло. Помогло полное удаление и установка заново - подменю появилось. Есть подозрение, что исчезло оно из-за скинов с расширенным функционалом, надо будет проверить (но только на виртуалке )... А вот во вкладке Операционная система подменю теперь появляется не всегда... Ссылка на комментарий Поделиться на другие сайты Поделиться
Мирный Атом Опубликовано 31 января, 2010 Поделиться Опубликовано 31 января, 2010 Сделал,так как один раз эта зараза неизвестная попала мне на комп!Сделал даже при нестандартном скине! Ссылка на комментарий Поделиться на другие сайты Поделиться
Денис-НН Опубликовано 31 января, 2010 Поделиться Опубликовано 31 января, 2010 А почитав вот эту тему http://forum.kaspersky.com/index.php?showtopic=150598 я добавил ресурс D:\Documents\* и запретил доступ для всяких ограниченных. И заодно, хранилище паролей для оперы. Путь именно такой, нестандартный, потому что там лежат все документы, для всех пользователей. На других компьютерах - путь другой! Можно по умолчанию %USERPROFILE%\Мои документы\* Ссылка на комментарий Поделиться на другие сайты Поделиться
Mark D. Pearlstone Опубликовано 31 января, 2010 Поделиться Опубликовано 31 января, 2010 Помогло полное удаление и установка заново - подменю появилось. Есть подозрение, что исчезло оно из-за скинов с расширенным функционалом, надо будет проверить (но только на виртуалке )... А вот во вкладке Операционная система подменю теперь появляется не всегда... А можете теперь скриншот того окна скинуть для сравнения? Ссылка на комментарий Поделиться на другие сайты Поделиться
Umnik Опубликовано 31 января, 2010 Поделиться Опубликовано 31 января, 2010 Спасибо за интерес к моей статье. 1. Исправьте ошибку в заголовке. Я писал статью в плохом настроении, чтобы отвлечься от проблем. И пропустил глупую ошибку в заголовке. Я исправлю ее на АМ и на других ресурсах, а здесь прошу сделать это модераторов: приставка "бес-" Сообщение от модератора C. Tantin Исполнено 2. Статья обновляется. Не знаю, имеется ли в этой копии (в первом посте) о защите ветки политик. Защита запретит вредоносу отключать редактор реестра, Диспетчер задач и прочее. На АМ это уже есть и сегодня будет еще одно обновление.3. Urotsuki адекватную работу при/после использования альтернативных скинов ЛК не гарантирует. Потому я принципиально не ставлю их. 4. "Еще бы это дело как-нибудь автоматизировать". Я думал об этом, но не знаю, как это сделать. То есть можно, конечно, использовать Экспорт/Импорт конфигурации, но это не совсем то. 5. "PS Эту статейку бы в базу знаний поддержки ЛК". Сначала было слово. И слово было: "Привет, Леш. У меня есть предложение о защите от локеров уже имеющимися у нас средствами ... общее описание на словах ..." - "Отлично. Напиши предложение ххх, ууу, ззз, йййй, в копию ккк, ввв, ппп и мне". Разослал письмо и через 20 минут получил от писателей базы знаний вопросы. То есть статья для нашей базы знаний также пишется на основе моих предложений. 6. Денис-НН, я думал о защите документов, но отказался. Дело в том, что слишком много программ из группы "Слабые ограничения" имеют диалог Open/Save, который по дефолту открывается именно в Моих документах. 3 Ссылка на комментарий Поделиться на другие сайты Поделиться
Денис-НН Опубликовано 31 января, 2010 Поделиться Опубликовано 31 января, 2010 (изменено) Umnik Согласен, могут возникнуть проблемы. Всем такое советовать не стоит. Но у меня нет полудоверенных программ - или доверять, или в топку. Особенно на работе. Блокираторы винды меня мало пугают, при работе с правами пользователя реестр и так прикрыт. Вреда они не наносят, максимум - нервы и потерянное время. Но это личное отношение. А насчёт автоматизации -может можно базами такое добавить, или патчем? Полезно очень. Изменено 31 января, 2010 пользователем Денис-НН Ссылка на комментарий Поделиться на другие сайты Поделиться
strat Опубликовано 31 января, 2010 Автор Поделиться Опубликовано 31 января, 2010 Исправьте ошибку в заголовке. Исправил в 1-м посте но не в заголовке темы, приложенный файл не стл переименовывать. Не знаю, имеется ли в этой копии (в первом посте) о защите ветки политик. если этот пункт то присутствует, ниже цитата из статьиВ окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности" Насчет автоматизации - мне приходит в голову только одно, автоматизация через скрипт Sign of Misery или AutoIt, естественно предварительно надо будет в доверенные добавлять. Я попробую сделать на SoM. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ummitium Опубликовано 31 января, 2010 Поделиться Опубликовано 31 января, 2010 Не забывайте про ручной режим + запрос на запуск всем кроме Доверенных. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти