В последнее время вредный код типа ransomware и троянов стремится попасть в систему в виде скриптов (.js, .vbs, .wsf).
Само простое что вы можете сделать, если вы не пишите подобные скрипты сами или не юзаете их от других авторов, то просто заприте их выполнение.
Это можно сделать через реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
"Enabled"=dword:00000000
А можно через правила встроенного фаерволла:
netsh advfirewall firewall add rule name="Block_WScript" dir=out action=block program="C:\Windows\System32\wscript.exe"
netsh advfirewall firewall add rule name="Block_CScript" dir=out action=block program="C:\Windows\System32\cscript.exe"
Также пишут гуру-защитники что сегодня авторы вирусов норовят использовать все файловые возможности Windows, т.е. кроме папки %temp% payload вируса чаще пишется в %AppData% или в %Public%. Поэтому правила ужесточаются до ограничения запуска исполняемого кода с папки C:\Users\*\*\*.exe с рекурсией.
Что именно и как закрывать я рекомендую узнать на примере отличного антивируса МсАfee.
Но даже если у вас другой антивирус, или его нет вообще, то вам все равно следует выполнить запрет на запуск EXE-файлов из C:\Users\*.
Это можно элементарно сделать групповыми политиками Windows. Не знаете как? Как сделать запрет запуска исполняемых файлов из конкретного каталога (и глубже) показано здесь.
Но смотрите не перестарайтесь. Как показала практика в %appdata%\*\ может работать много и честных программ. Тот же Chrome или другие приложения разработчики которых таким образом уходят от административных прав в ОС. Нужно будет строить исключения и разрешать их явно.
Это будет ваша первая реакция против неизвестного кода которая закроет до 90% возможной вирусной атаки в будущем. Обычно все заключается в распаковке (декодировке) загрузчика и последующей загрузки с Интернета основного файла (payload), записи его на диск и последующего запуска. Поэтому ваша задача проста - перекрыть доставку основной части зловреда через скрипты, макросы, DDE и т.п.
Успехов всем нам.
А Powershell отключить как?
ReplyDeleteПолитику выполнения для PS в Restricted.
ReplyDeleteТак она же обходится на раз)
ReplyDeleteТак C:\Users\*\*\*.exe можно запретить на 3-м уровне. А как чтобы на всю глубину?
ReplyDeletec:\users\**\*. Но так много софта там норовит что-то свое запихнуть что устанете исключения писать.
ReplyDeletec:\users\**\* не работает на всю глубину.
ReplyDelete