sorus.ucoz.ru
Главная
Вход
Регистрация
Воскресенье, 22.12.2024, 04:43Приветствую Вас Гость | RSS
[Перейти на главную страницу сайта · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Безсигнатурная защита от Trojan-Ransom средствами KIS 2010
kruksikДата: Среда, 03.02.2010, 00:00 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 16064
Статус:
Безсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

защищаемся от заразы своими руками

К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).

Настройка - Контроль программ. Нажимаем кнопку "Настройка". На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра", как показано на изображении.

В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты \Winlogon\shell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 4 места и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:

1. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
2. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
3. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
4. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

Пути нужно писать так, как написано выше. Каждый путь добавляется отдельно. Вот как это выглядит в конечном счете:

Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пункте 4 после * его нет.

Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...".

В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно. Вот что получается в итоге:

Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).

Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:

- Параметры безопасности Internet Explorer
- Зоны Internet Explorer
- Параметры встроенного фаервола
- Ветку политик
- ...и прочее

Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности". А вот что входит в "Параметры безопасности":

После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.

Прикрепления: 3786034.jpg (18.7 Kb) · 9216058.jpg (90.4 Kb) · 8492361.jpg (85.4 Kb) · 2165402.jpg (192.8 Kb)


 
AlteyaДата: Среда, 03.02.2010, 00:33 | Сообщение # 2
Аспирант
Группа: Проверенные
Сообщений: 542
Статус:
Только KIS спасет комп? Странно.... %)

 
kruksikДата: Среда, 03.02.2010, 00:38 | Сообщение # 3
Admin
Группа: Администраторы
Сообщений: 16064
Статус:
Quote (Alteya)
Только KIS спасет комп?

ну кто сказал что только он? есть альтернатива этой процедуры
RansomHide http://sorus.ucoz.ru/forum/100-12835-1
Только вот не всегда с программой все получается. Недавно ко мне обратился наш пользователь с подобной ерундой. К несчастью в программе не оказалось ни нужного номера телефона и соответственно нужного ключа.
Для таких случаев умные люди и придумали такой вариант защиты от заразы.


 
AlteyaДата: Среда, 03.02.2010, 00:44 | Сообщение # 4
Аспирант
Группа: Проверенные
Сообщений: 542
Статус:
kruksik, спасибо, Нат. Давно я не была на сайте, прошляпила ^_^

 
kruksikДата: Среда, 03.02.2010, 00:45 | Сообщение # 5
Admin
Группа: Администраторы
Сообщений: 16064
Статус:
Quote (Alteya)
Давно я не была на сайте, прошляпила

Не стесняйся.. заходи почаще ;)


 
dryushaДата: Среда, 03.02.2010, 00:46 | Сообщение # 6
Доцент
Группа: Проверенные
Сообщений: 850
Статус:
А вот альтернатива, которую предложила kruksik, действительно помогает! Я спас два компа с помощью нее. Но нужен второй компьютер на котором есть эта программа(или флешка), так как на зараженном компе ничего не сделаешь ;)


 
kruksikДата: Среда, 03.02.2010, 00:58 | Сообщение # 7
Admin
Группа: Администраторы
Сообщений: 16064
Статус:
Quote (dryusha)
А вот альтернатива, которую предложила kruksik, действительно помогает!

как и писала выше, не на 100% работает альтернатива. Дай Бог вообще не пользоваться такой утилитой :D


 
YALTAДата: Среда, 03.02.2010, 01:03 | Сообщение # 8
Аспирант
Группа: Старожилы
Сообщений: 641
Статус:
Quote (kruksik)
Дай Бог вообще не пользоваться такой утилитой

Это точно!




 
alexKrДата: Среда, 03.02.2010, 03:02 | Сообщение # 9
Студент
Группа: Старожилы
Сообщений: 105
Статус:
К сожалению,не всё так просто.После внесения изменений в реестр,каспер блокирует запуск''подозрительных''программ, установленных и вполне рабоче-безобидных,что согласитесь не совсем приятно...

"...Если тебе не по сердцу мой путь, выбери свой или выбери с кем,
а мне по барабану вся эта муть, я не червонец чтобы нравиться всем..."
 
stelspro94Дата: Среда, 03.02.2010, 04:30 | Сообщение # 10
Бакалавр
Группа: Старожилы
Сообщений: 321
Статус:
Занимательно!!!
 
СанАнатДата: Среда, 03.02.2010, 06:17 | Сообщение # 11
Ученик
Группа: Старожилы
Сообщений: 38
Статус:
А может кто-нибудь сказать вообще где ловится эта зараза.
 
mikex77Дата: Среда, 03.02.2010, 09:01 | Сообщение # 12
Ученик
Группа: Старожилы
Сообщений: 4
Статус:
Opera и Dr Web в паре её не пропустят

Добавлено (03.02.2010, 09:01)
---------------------------------------------
А так лучше всего иметь при себе Dr Web Live CD с новыми базами

 
yorrДата: Среда, 03.02.2010, 11:06 | Сообщение # 13
Магистр
Группа: Старожилы
Сообщений: 363
Статус:
Это из одного предыдущего форума по RansomHide :http://sorus.ucoz.ru/forum/100-12643-1.Как вариант.


Добавлено (03.02.2010, 11:06)
---------------------------------------------
Думаю,в этом случае надо не полениться и записать где-нибудь последовательность действий,чтоб не искать рабочий комп.Ну,а у кого память хорошая( в смысле не оперативная :D ),ммм,просто запомните.

 
СвятослаВДата: Среда, 03.02.2010, 11:42 | Сообщение # 14
Ученик
Группа: Старожилы
Сообщений: 23
Статус:
yorr, спасибо, для ознакомительных целей прошелся и нашел страничку http://www.drweb.com/ далее "Разблокировать Windows от троянца и действуем по инструкциям доктора, должно получиться.
kruksik, Ты можешь помочь....У Вас есть веб-сайт? Разместите на нем баннер со ссылкой на http://drweb.com/unlocker/ - так о том, что систему можно разблокировать бесплатно, узнают больше пострадавших!
 
yorrДата: Среда, 03.02.2010, 12:44 | Сообщение # 15
Магистр
Группа: Старожилы
Сообщений: 363
Статус:
СвятослаВ, взаимное спасибо!Заношу в избранное
 
RADA-1Дата: Среда, 03.02.2010, 13:15 | Сообщение # 16
Ученик
Группа: Старожилы
Сообщений: 33
Статус:
Quote (mikex77)
Opera и Dr Web в паре её не пропустят

пропустили , ток веб ее сразу нашел и заблокировал , но удалить не смог , удалял вручную , и лезет не в системный диск ...


Хочешь хорошо питаться - работай !
 
ciwДата: Среда, 03.02.2010, 13:20 | Сообщение # 17
Магистр
Группа: Проверенные
Сообщений: 417
Статус:
Наташенька, МО-ЛО-ДЕЦ!!! ^_^
И быают же на свете женщины одновременно и красивые, и умные! И Вы явно из их числа! rose


Лучше зажечь одну маленькую свечку, чем проклинать темноту...
 
RADA-1Дата: Среда, 03.02.2010, 13:23 | Сообщение # 18
Ученик
Группа: Старожилы
Сообщений: 33
Статус:
СвятослаВ спасибо за ссылку, роздам по сети (городской) !

Хочешь хорошо питаться - работай !
 
TanyaДата: Среда, 03.02.2010, 13:40 | Сообщение # 19
Студент
Группа: Старожилы
Сообщений: 114
Статус:
Только что убила вручную эту гадость. Но все равно воспользуюсь ссылками. Спасибо всем. ^_^
 
alexKrДата: Среда, 03.02.2010, 15:23 | Сообщение # 20
Студент
Группа: Старожилы
Сообщений: 105
Статус:
Прежние версии трояна самоуничтожались по прошествии 2-4 часов,а эти как себя ведут? Отпишитесь,кто знает.

"...Если тебе не по сердцу мой путь, выбери свой или выбери с кем,
а мне по барабану вся эта муть, я не червонец чтобы нравиться всем..."
 
DiksДата: Среда, 03.02.2010, 20:58 | Сообщение # 21
Ученик
Группа: Старожилы
Сообщений: 1
Статус:
Для избавления от этой заразы ещё проще скачать утилиту DrWEB CureIt (около 27МБ): http://www.freedrweb.com/cureit/ или такую бета-версию: http://beta.drweb.com/files/?p=cureit&t=d
Или достаточно посетить специальный сайт: http://www.drweb.com/unlocker/index/

Кто зарегистрирован ВКонтакте, добро пожаловать в нашу группу по излечению: в поиске наберите "Антивирусная защита"

Добавлено (03.02.2010, 20:58)
---------------------------------------------

Quote (Tanya)
Прежние версии трояна самоуничтожались по прошествии 2-4 часов,а эти как себя ведут? Отпишитесь,кто знает.

Настоящие уже не исчезают ) Проверено.
Никогда не отправляйте CМС!!!
В крайнем случае можно позвонить контент-провайдеру номера, почти всегда это Первый альтернативный (1Агрегатор): 8(495)3631427 доб.11 и объяснив причину звонка Вам помогут избавиться от баннера назвав код активации именно для данного случая. После этого компьютер перезагружается и окно исчезает.
 
kruksikДата: Среда, 03.02.2010, 21:01 | Сообщение # 22
Admin
Группа: Администраторы
Сообщений: 16064
Статус:
Diks, ссылку с контактов уберите пож-та

 
GORANFLOДата: Среда, 03.02.2010, 22:48 | Сообщение # 23
Бакалавр
Группа: Старожилы
Сообщений: 322
Статус:
спасибо за консультацию
 
ЛюдоМилкаДата: Пятница, 05.02.2010, 18:23 | Сообщение # 24
Бакалавр
Группа: Старожилы
Сообщений: 204
Статус:
спасибо - была эта дрянь и у меня на компе.......жаль что раньше этого не видела........правда справилась сама - но пришлось всё равно откатку делать..........
 
clipperДата: Пятница, 05.02.2010, 20:27 | Сообщение # 25
Ученик
Группа: Старожилы
Сообщений: 31
Статус:
Странно, ловил на Vistu HP SP 1, потом вручную "абортировал" ОСь, и после перезагрузки систему восстановил стандартными средствами Vistы. Правда эту хрень ловил 1,5 месяца назад. И заражение прошло на "буке" с предустановленным скрытым разделом. Но то , что словил от банера, который пропустил KIS 2010 со свежими базами - это точно. А вообще, чистите кэш постоянно, помогает. Смешной дедовский метод, но работает.
 
JUtaTCH2009Дата: Суббота, 13.02.2010, 16:33 | Сообщение # 26
Студент
Группа: Старожилы
Сообщений: 183
Статус:
Кто предупреждён - тот вооружён... ВСЕМ СПАСИБО ЗА ИНФОРМАЦИЮ !!! ^_^

У меня в детстве не было ИНТЕРНЕТА , у меня было ДЕТСТВО .

 
lukeroДата: Воскресенье, 21.02.2010, 18:28 | Сообщение # 27
Ученик
Группа: Старожилы
Сообщений: 5
Статус:
да-а-а было дело,мы в банке поймали эту .......... , винду по верх установили и .............. не знаю, :o вроде пока о,кей!

всё,что видим мы-видимость только одна
далеко от поверхности моря-до дна!
 
андрей21Дата: Четверг, 23.02.2012, 01:51 | Сообщение # 28
Ученик
Группа: Старожилы
Сообщений: 40
Статус:
а с kis 2012 так можно сделать?
 
  • Страница 1 из 1
  • 1
Поиск:


SORUS 2008-2024 | Sitemap