А АWednesday 2 May 2018

Без антивируса - защити себя сам!

Всем привет.

В последнее время вредный код типа ransomware и троянов стремится попасть в систему в виде скриптов (.js, .vbs, .wsf).

Само простое что вы можете сделать, если вы не пишите подобные скрипты сами или не юзаете их от других авторов, то просто заприте их выполнение

Это можно сделать через реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
"Enabled"=dword:00000000

А можно через правила встроенного фаерволла:
netsh advfirewall firewall add rule name="Block_WScript" dir=out action=block program="C:\Windows\System32\wscript.exe"
netsh advfirewall firewall add rule name="Block_CScript" dir=out action=block program="C:\Windows\System32\cscript.exe"

Также пишут гуру-защитники что сегодня авторы вирусов норовят использовать все файловые возможности Windows, т.е. кроме папки %temp% payload вируса чаще пишется в %AppData% или в %Public%. Поэтому правила ужесточаются до ограничения запуска исполняемого кода с папки C:\Users\*\*\*.exe с рекурсией.

Что именно и как закрывать я рекомендую узнать на примере отличного антивируса МсАfee.

Но даже если у вас другой антивирус, или его нет вообще, то вам все равно следует выполнить запрет на запуск EXE-файлов из C:\Users\*.

Это можно элементарно сделать групповыми политиками Windows. Не знаете как? Как сделать запрет запуска исполняемых файлов из конкретного каталога (и глубже) показано здесь.



Но смотрите не перестарайтесь. Как показала практика в %appdata%\*\ может работать много и честных программ. Тот же Chrome или другие приложения разработчики которых таким образом уходят от административных прав в ОС. Нужно будет строить исключения и разрешать их явно.

Это будет ваша первая реакция против неизвестного кода которая закроет до 90% возможной вирусной атаки в будущем. Обычно все заключается в распаковке (декодировке) загрузчика и последующей загрузки с Интернета основного файла (payload), записи его на диск и последующего запуска. Поэтому ваша задача проста - перекрыть доставку основной части зловреда через скрипты, макросы, DDE и т.п.

Успехов всем нам.

6 comments:

Anonymous said...

А Powershell отключить как?

Anonymous said...

Политику выполнения для PS в Restricted.

Anonymous said...

Так она же обходится на раз)

Anonymous said...

Так C:\Users\*\*\*.exe можно запретить на 3-м уровне. А как чтобы на всю глубину?

Anonymous said...

c:\users\**\*. Но так много софта там норовит что-то свое запихнуть что устанете исключения писать.

Anonymous said...

c:\users\**\* не работает на всю глубину.

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное