|
Безсигнатурная защита от Trojan-Ransom средствами KIS 2010
| |
| kruksik | Дата: Среда, 03.02.2010, 00:00 | Сообщение # 1 |
Admin
Группа: Администраторы
Сообщений: 16064
Статус:  |
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010 защищаемся от заразы своими руками К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением. Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS). Настройка - Контроль программ. Нажимаем кнопку "Настройка". На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра", как показано на изображении. В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты \Winlogon\shell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 4 места и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем: 1. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
2. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
3. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
4. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* Пути нужно писать так, как написано выше. Каждый путь добавляется отдельно. Вот как это выглядит в конечном счете: Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пункте 4 после * его нет. Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...". В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно. Вот что получается в итоге: Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет). Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять: - Параметры безопасности Internet Explorer
- Зоны Internet Explorer
- Параметры встроенного фаервола
- Ветку политик
- ...и прочее Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности". А вот что входит в "Параметры безопасности": После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.
|
| |
| |
| Alteya | Дата: Среда, 03.02.2010, 00:33 | Сообщение # 2 |
Аспирант
Группа: Проверенные
Сообщений: 542
Статус: |
Только KIS спасет комп? Странно.... 
|
| |
| |
| kruksik | Дата: Среда, 03.02.2010, 00:38 | Сообщение # 3 |
|
Admin
Группа: Администраторы
Сообщений: 16064
Статус: |
Quote (Alteya) Только KIS спасет комп?
ну кто сказал что только он? есть альтернатива этой процедуры
RansomHide http://sorus.ucoz.ru/forum/100-12835-1
Только вот не всегда с программой все получается. Недавно ко мне обратился наш пользователь с подобной ерундой. К несчастью в программе не оказалось ни нужного номера телефона и соответственно нужного ключа.
Для таких случаев умные люди и придумали такой вариант защиты от заразы.
|
| |
| |
| Alteya | Дата: Среда, 03.02.2010, 00:44 | Сообщение # 4 |
|
Аспирант
Группа: Проверенные
Сообщений: 542
Статус: |
kruksik, спасибо, Нат. Давно я не была на сайте, прошляпила 
|
| |
| |
| kruksik | Дата: Среда, 03.02.2010, 00:45 | Сообщение # 5 |
|
Admin
Группа: Администраторы
Сообщений: 16064
Статус: |
Quote (Alteya) Давно я не была на сайте, прошляпила
Не стесняйся.. заходи почаще 
|
| |
| |
| dryusha | Дата: Среда, 03.02.2010, 00:46 | Сообщение # 6 |
Доцент
Группа: Проверенные
Сообщений: 850
Статус: |
А вот альтернатива, которую предложила kruksik, действительно помогает! Я спас два компа с помощью нее. Но нужен второй компьютер на котором есть эта программа(или флешка), так как на зараженном компе ничего не сделаешь
|
| |
| |
| kruksik | Дата: Среда, 03.02.2010, 00:58 | Сообщение # 7 |
|
Admin
Группа: Администраторы
Сообщений: 16064
Статус: |
Quote (dryusha) А вот альтернатива, которую предложила kruksik, действительно помогает!
как и писала выше, не на 100% работает альтернатива. Дай Бог вообще не пользоваться такой утилитой 
|
| |
| |
| YALTA | Дата: Среда, 03.02.2010, 01:03 | Сообщение # 8 |
Аспирант
Группа: Старожилы
Сообщений: 641
Статус: |
Quote (kruksik) Дай Бог вообще не пользоваться такой утилитой
Это точно!
|
| |
| |
| alexKr | Дата: Среда, 03.02.2010, 03:02 | Сообщение # 9 |
Студент
Группа: Старожилы
Сообщений: 105
Статус: |
К сожалению,не всё так просто.После внесения изменений в реестр,каспер блокирует запуск''подозрительных''программ, установленных и вполне рабоче-безобидных,что согласитесь не совсем приятно...
"...Если тебе не по сердцу мой путь, выбери свой или выбери с кем,
а мне по барабану вся эта муть, я не червонец чтобы нравиться всем..."
|
| |
| |
| stelspro94 | Дата: Среда, 03.02.2010, 04:30 | Сообщение # 10 |
Бакалавр
Группа: Старожилы
Сообщений: 321
Статус: |
Занимательно!!!
|
| |
| |
| СанАнат | Дата: Среда, 03.02.2010, 06:17 | Сообщение # 11 |
Ученик
Группа: Старожилы
Сообщений: 38
Статус: |
А может кто-нибудь сказать вообще где ловится эта зараза.
|
| |
| |
| mikex77 | Дата: Среда, 03.02.2010, 09:01 | Сообщение # 12 |
Ученик
Группа: Старожилы
Сообщений: 4
Статус: |
Opera и Dr Web в паре её не пропустят Добавлено (03.02.2010, 09:01)
---------------------------------------------
А так лучше всего иметь при себе Dr Web Live CD с новыми базами
|
| |
| |
| yorr | Дата: Среда, 03.02.2010, 11:06 | Сообщение # 13 |
Магистр
Группа: Старожилы
Сообщений: 363
Статус: |
Это из одного предыдущего форума по RansomHide :http://sorus.ucoz.ru/forum/100-12643-1.Как вариант. 
 Добавлено (03.02.2010, 11:06)
---------------------------------------------
Думаю,в этом случае надо не полениться и записать где-нибудь последовательность действий,чтоб не искать рабочий комп.Ну,а у кого память хорошая( в смысле не оперативная ),ммм,просто запомните.
|
| |
| |
| СвятослаВ | Дата: Среда, 03.02.2010, 11:42 | Сообщение # 14 |
Ученик
Группа: Старожилы
Сообщений: 23
Статус: |
yorr, спасибо, для ознакомительных целей прошелся и нашел страничку http://www.drweb.com/ далее "Разблокировать Windows от троянца и действуем по инструкциям доктора, должно получиться.
kruksik, Ты можешь помочь....У Вас есть веб-сайт? Разместите на нем баннер со ссылкой на http://drweb.com/unlocker/ - так о том, что систему можно разблокировать бесплатно, узнают больше пострадавших!
|
| |
| |
| yorr | Дата: Среда, 03.02.2010, 12:44 | Сообщение # 15 |
|
Магистр
Группа: Старожилы
Сообщений: 363
Статус: |
СвятослаВ, взаимное спасибо!Заношу в избранное
|
| |
| |
| RADA-1 | Дата: Среда, 03.02.2010, 13:15 | Сообщение # 16 |
Ученик
Группа: Старожилы
Сообщений: 33
Статус: |
Quote (mikex77) Opera и Dr Web в паре её не пропустят пропустили , ток веб ее сразу нашел и заблокировал , но удалить не смог , удалял вручную , и лезет не в системный диск ...
Хочешь хорошо питаться - работай !
|
| |
| |
| ciw | Дата: Среда, 03.02.2010, 13:20 | Сообщение # 17 |
Магистр
Группа: Проверенные
Сообщений: 417
Статус: |
Наташенька, МО-ЛО-ДЕЦ!!!
И быают же на свете женщины одновременно и красивые, и умные! И Вы явно из их числа! 
Лучше зажечь одну маленькую свечку, чем проклинать темноту...
|
| |
| |
| RADA-1 | Дата: Среда, 03.02.2010, 13:23 | Сообщение # 18 |
|
Ученик
Группа: Старожилы
Сообщений: 33
Статус: |
СвятослаВ спасибо за ссылку, роздам по сети (городской) !
Хочешь хорошо питаться - работай !
|
| |
| |
| Tanya | Дата: Среда, 03.02.2010, 13:40 | Сообщение # 19 |
Студент
Группа: Старожилы
Сообщений: 114
Статус: |
Только что убила вручную эту гадость. Но все равно воспользуюсь ссылками. Спасибо всем.
|
| |
| |
| alexKr | Дата: Среда, 03.02.2010, 15:23 | Сообщение # 20 |
|
Студент
Группа: Старожилы
Сообщений: 105
Статус: |
Прежние версии трояна самоуничтожались по прошествии 2-4 часов,а эти как себя ведут? Отпишитесь,кто знает.
"...Если тебе не по сердцу мой путь, выбери свой или выбери с кем,
а мне по барабану вся эта муть, я не червонец чтобы нравиться всем..."
|
| |
| |
| Diks | Дата: Среда, 03.02.2010, 20:58 | Сообщение # 21 |
|
Ученик
Группа: Старожилы
Сообщений: 1
Статус: |
Для избавления от этой заразы ещё проще скачать утилиту DrWEB CureIt (около 27МБ): http://www.freedrweb.com/cureit/ или такую бета-версию: http://beta.drweb.com/files/?p=cureit&t=d
Или достаточно посетить специальный сайт: http://www.drweb.com/unlocker/index/ Кто зарегистрирован ВКонтакте, добро пожаловать в нашу группу по излечению: в поиске наберите "Антивирусная защита" Добавлено (03.02.2010, 20:58)
---------------------------------------------
Quote (Tanya) Прежние версии трояна самоуничтожались по прошествии 2-4 часов,а эти как себя ведут? Отпишитесь,кто знает.
Настоящие уже не исчезают ) Проверено.
Никогда не отправляйте CМС!!!
В крайнем случае можно позвонить контент-провайдеру номера, почти всегда это Первый альтернативный (1Агрегатор): 8(495)3631427 доб.11 и объяснив причину звонка Вам помогут избавиться от баннера назвав код активации именно для данного случая. После этого компьютер перезагружается и окно исчезает.
|
| |
| |
| kruksik | Дата: Среда, 03.02.2010, 21:01 | Сообщение # 22 |
|
Admin
Группа: Администраторы
Сообщений: 16064
Статус: |
Diks, ссылку с контактов уберите пож-та
|
| |
| |
| GORANFLO | Дата: Среда, 03.02.2010, 22:48 | Сообщение # 23 |
Бакалавр
Группа: Старожилы
Сообщений: 322
Статус: |
спасибо за консультацию
|
| |
| |
| ЛюдоМилка | Дата: Пятница, 05.02.2010, 18:23 | Сообщение # 24 |
Бакалавр
Группа: Старожилы
Сообщений: 204
Статус: |
спасибо - была эта дрянь и у меня на компе.......жаль что раньше этого не видела........правда справилась сама - но пришлось всё равно откатку делать..........
|
| |
| |
| clipper | Дата: Пятница, 05.02.2010, 20:27 | Сообщение # 25 |
Ученик
Группа: Старожилы
Сообщений: 31
Статус: |
Странно, ловил на Vistu HP SP 1, потом вручную "абортировал" ОСь, и после перезагрузки систему восстановил стандартными средствами Vistы. Правда эту хрень ловил 1,5 месяца назад. И заражение прошло на "буке" с предустановленным скрытым разделом. Но то , что словил от банера, который пропустил KIS 2010 со свежими базами - это точно. А вообще, чистите кэш постоянно, помогает. Смешной дедовский метод, но работает.
|
| |
| |
| JUtaTCH2009 | Дата: Суббота, 13.02.2010, 16:33 | Сообщение # 26 |
Студент
Группа: Старожилы
Сообщений: 183
Статус: |
Кто предупреждён - тот вооружён... ВСЕМ СПАСИБО ЗА ИНФОРМАЦИЮ !!!
У меня в детстве не было ИНТЕРНЕТА , у меня было ДЕТСТВО .
|
| |
| |
| lukero | Дата: Воскресенье, 21.02.2010, 18:28 | Сообщение # 27 |
Ученик
Группа: Старожилы
Сообщений: 5
Статус: |
да-а-а было дело,мы в банке поймали эту .......... , винду по верх установили и .............. не знаю,  вроде пока о,кей!
всё,что видим мы-видимость только одна
далеко от поверхности моря-до дна!
|
| |
| |
| андрей21 | Дата: Четверг, 23.02.2012, 01:51 | Сообщение # 28 |
|
Ученик
Группа: Старожилы
Сообщений: 40
Статус: |
а с kis 2012 так можно сделать?
|
| |
| |
|
