Перейти к содержанию

Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010


strat

Рекомендуемые сообщения

Беcсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

 

Читайте или по ссылке или в приложенном файле, дел всего на 5 минут

 

К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

 

 

Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).

 

п.с. Можно давать ссылку юзерам из раздела борьбы с вирусами типа "если больше не хотите проблем с Winlock, то поставьте Kis2010 и выполните данную инструкцию.@

Сообщение от модератора Jen94
Закреплено

Бессигнатурная_защита_от_Trojan_Ransom__WinLock__средствами_KIS_2010.zip

Изменено пользователем Jen94
файл обновлен
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Не забывайте про ручной режим + запрос на запуск всем кроме Доверенных.

вариант, но куча выскакивающих балунов с выбором действия, мне лично немного действует на нервы :)

Ссылка на комментарий
Поделиться на другие сайты

Umnik, вопрос.

В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности".

Запрет делать на всё или можно оставить разрешённым чтение?

Изменено пользователем Mark D. Pearlstone
Ссылка на комментарий
Поделиться на другие сайты

А можете теперь скриншот того окна скинуть для сравнения?

Да то-же самое окно, только подменю появляется при нажатии на Добавить :) А то просто появлялось окно для добавления ресурса сразу.

post-11265-1264933413_thumb.jpg

 

3. Urotsuki адекватную работу при/после использования альтернативных скинов ЛК не гарантирует. Потому я принципиально не ставлю их.

Эт понятно, особенно если изменялась в скине функциональная часть, а не графика :lol: Но 100% утверждать, что причиной стали альтернативные скины пока нельзя :good: Надо проверить, тем более тут пишут, что делали это прямо при их использовании, и всё было значит. Просто в скине Фрайдэй-3 когда открывал это окно, там было 3 вкладки вообще вроде...

 

А толку?

В смысле? Программы сами не запустятся, а если сделать запрет на всякие такие вот действия опасные, то даже запуск с ограниченными возможностями не приведёт к плохим последствиям. Ещё лучше запускать в песочнице ^_^

 

PS: Я тож не держу программы "полудоверенными" ;) Но может и возникнуть нужда запустить прогу в ограниченной группе, конечно.

Ссылка на комментарий
Поделиться на другие сайты

Запрет делать на всё или можно оставить разрешённым чтение?

Ну, раз в "Сильных ограничениях" стоит галочка на "Чтение", значит галочку на "Чтение" можно оставить! ;)

Изменено пользователем -=Kirill Strelets=-
Ссылка на комментарий
Поделиться на другие сайты

Ну, раз в "Сильных ограничениях" стоит галочка на "Чтение", значит галочку на "Чтение" можно оставить! ;)

Вот поэтому и спрашиваю у Umnik. В статье ж про это не сказано. Что он скажет.

Ссылка на комментарий
Поделиться на другие сайты

Вот поэтому и спрашиваю у Umnik. В статье ж про это не сказано. Что он скажет.

Лично я уверен, что говорю правильно. Я так и сделал!

Можно конечно поставить запрет на "Чтение", и это же повторить в "Сильных ограничениях"...

Но можно посоветоваться и с Umnik, так даже будет спокойнее :) ! ;)

Ссылка на комментарий
Поделиться на другие сайты

Запрет делать на всё или можно оставить разрешённым чтение?

Как хочешь. ;) Не имеет никакого значения, не считая мега-супер-извращенных кейсов. Единственное, кривые программы могут падать, если не получают то, что хотят. Но за борт такие программы.

Ссылка на комментарий
Поделиться на другие сайты

*, 01.02.2009 18:18:08:

кейс?

 

*, 18:18:13:

эт че

 

Umnik, 18:19:26:

"сообщите кейс падения программы" - "я тыкаю эту кнопку, плюю три раза в монитор, произношу Абра-Кадабра и жму Энтер. Программа падает".

Доходчиво? ;)

Ссылка на комментарий
Поделиться на другие сайты

А толку?

По моему, очень удобно - ни одна скрытая инсталляция не будет пропущена.

К тому же, при запуске сразу видно подписанное приложение или нет, а в возникающем алерте можно определить приложение в Доверенные или запретить запуск.

Ссылка на комментарий
Поделиться на другие сайты

Установил указанные настройки.

Некоторые замечания:

При включенной как указано защите *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (AppInit_DLLs) не устанавливаются некоторые расширения для IE (например, плагин для сккачивания музыки с сайта vkontakte.ru).

 

Вопрос: защита "Параметров безопасности" не помешает в дальнейшем установке\работе ПО? Есть ли программы, которым при установке\работе требуются эти ключи (за исключением твикеров)?

 

А за идею - большое спасибо, очень полезно ;)

Ссылка на комментарий
Поделиться на другие сайты

При включенной как указано защите *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (AppInit_DLLs) не устанавливаются некоторые расширения для IE (например, плагин для сккачивания музыки с сайта vkontakte.ru).

ОМГ. Что он там забыл?

Вопрос: защита "Параметров безопасности" не помешает в дальнейшем установке\работе ПО? Есть ли программы, которым при установке\работе требуются эти ключи (за исключением твикеров)?

Эти ключи отвечают именно за твики.

 

ВСЕМ!

Эта запись в блоге была сделана для популяризации.

"Российский закон об авторском праве не распространяется на идеи. И это глубоко правильно. Если вы узрели интересные идеи в чужих работах —

берите их пачками, бидонами, берите, сколько можете унести, используйте и развивайте. Хорошие идеи должны распространяться, а плохие — дохнуть." (Рома Воронежский)

Считайте ее идеей защиты со всеми вытекающими.

Изменено пользователем Umnik
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Решения по кибербезопасности выбирать непросто. Здесь не всегда можно положиться на мнение друзей или краудсорсинговые рейтинги, которые отлично работают для более простых товаров и услуг. Если удобство интерфейса и общую юзабилити подобными методами оценить реально, то вот качество защиты от сложных угроз — уже вряд ли.
      Наиболее взвешенный объективный критерий — результаты экспертных исследований от профильных тестовых лабораторий и СМИ. Разумеется, важно, чтобы тестеры были независимыми — не связанными ни с одним из вендоров, продукция которых изучается.
      Мы всегда уделяли много внимания независимому тестированию наших продуктов и сервисов. Для удобства оценки результатов тестов на нашем сайте предусмотрен специальный раздел «ТОП-3». Он показывает, как много за год было тестов и в скольких из них мы заняли призовые места.
      Прошедший 2023 год стал для нас рекордным. Из сотни тестов, в которых участвовали наши решения, в 93 случаях мы заняли первое место, а 94 раза входили в первую тройку. Всего же с 2013 года наши продукты были протестированы независимыми исследователями 927 раз, завоевав 680 первых мест (и 779 раз мы были в тройке лидеров). Это абсолютный рекорд среди всех вендоров защитных решений как по количеству тестов, так и по количеству побед.
      Теперь немного подробностей.
      Сравнительный график с результатами независимых тестов защиты популярных вендоров. «Лаборатория Касперского» — абсолютный лидер: 680 первых мест из 927 проведенных тестов. Источник
       
      Посмотреть статью полностью
    • linktab
      От linktab
      Kaspersky Internet Security 2.3.10.391(k). В логе появилась группа из 3-х сообщений после завершения работы компьютера при выборе "обновить и завершить"

×
×
  • Создать...