Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010 и 2011

Материал из Энциклопедия фан-клуба Лаборатории Касперского
Перейти к: навигация, поиск

К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom (WinLock). Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше.

Очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи продуктов Kaspersky Internet Security 2010 (KIS 2010) и Kaspersky Internet Security 2011 (KIS 2011) могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).


Примечание: после настройки защиты от WinLock, материал которой приведен в этой статье, может возникнуть проблема совместимости с некоторым программным обеспечением (ПО) из-за предотвращения заражения WinLock.[1] Поэтому компанией ЛК была внедрена частичная защита AntiWinLock для предотвращения данной проблемы несовместимости с ПО и заражением Trojan-Ransom.

Ручная настройка защиты от WinLock для KIS 2010 и KIS 2011

Для KIS 2010: Настройка - Контроль программ. Нажимаем кнопку "Настройка". Для KIS 2011: Настройка - Контроль программ - Ресурсы. На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра".

В появившемся окне вводим название правила. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:

  • В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
  • В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
  • В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
  • В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
  • В поле "Ключ": *\SOFTWARE\Policies В поле "Значение": *
  • В поле "Ключ": *\SOFTWARE\Policies\*
  • В поле "Ключ": *\SOFTWARE\Policies\* В поле "Значение": *
  • В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot В поле "Значение": *
  • В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
  • В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\* В поле "Значение": *

Внимание! Каждый путь добавляется отдельно.

Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пунктах 4, 6 и 9 после * его нет.

Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Для KIS 2010: Настройка - Контроль программ - "Настройка правил...". Для KIS 2011: Настройка - Контроль программ - "Программы...".

В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (Для KIS 2011: кнопка "Изменить" находится наверху) (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно.

Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).

Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:

  • Параметры безопасности Internet Explorer
  • Зоны Internet Explorer
  • Параметры встроенного фаервола
  • Ветку политик
  • ...и прочее

Это сделать будет еще проще. В окне "Правила для группы программ" для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности" (Для KIS 2011: заходим в Настройка - Контроль программ - "Программы...", кликаем по кнопке "Изменить", выбираем вкладку "Файлы и системный реестр").

После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.

"Полуавтоматическая" настройка защиты от WinLock для KIS 2011

Для пользователей продуктов KIS 2011 есть возможность после его установки внедрить защиту AntiWinLock. Инструкция по внедрению защиты AntiWinLock представлена в этом сообщении на официальном форуме ЛК.

Ссылки

Личные инструменты
Пространства имён
Варианты
Действия
Навигация
Инструменты