Databáze znalostí

Jak zabránit spuštění havěti, která šifruje data?

Autor: Martin Buchta | Poslední aktualizace: 27.07.2015 15:35:22

Trendem poslední doby je škodlivý kód, který po svém spuštění zašifruje data na pevném disku a dalších dostupných médiích. Jak minimalizovat riziko napadení tímto typem havěti jsme popisovali v tomto článku. Počítač, respektive operační systém, je však možné nastavit tak, aby nedovolil spuštění aplikace z určitých definovaných složek. Vytvořením správných politik (omezení) pro určité složky a aplikace tak dokážeme zabránit spuštění škodlivého programu. Ve Windows máme k dispozici dva nástroje: Editor místních zásad skupiny (gpedit.msc) nebo Místní zásady zabezpečení (secpol.msc). Pravidla pro spuštění aplikací je možné vytvořit lokálně či jako doménovou politiku.

Oba zmiňované nástroje umožňují vytvořit vlastní Zásady omezení softwaru (Software Restriction Policies), na základě kterých můžeme blokovat spustitelné aplikace v určitých složkách. Pro obecné informace o zásadách omezení softwaru se podívejte na tyto stránky (v angličtině):

» How Software Restriction Policies Work

» Description of the Software Restriction Policies

Alternativou je potom použití aplikace CryptoPrevent, která potřebná obecná omezení vytvoří sama a to i v domácích verzích operačního systému Windows, které výše uvedené nástroje neobsahují.

Jakými pravidly omezit spuštění havěti?

Škodlivý kód je vlastně běžná spustitelná aplikace a pro svůj chod využívá (stejně jako legitimní aplikace) složky:

  • %AppData% (C:\Users\uzivatel\AppData\Roaming)
  • %LocalAppData% (C:\Users\uzivatel\AppData\Local)
  • %LocalAppData%\Temp (C:\Users\uzivatel\AppData\Local\Temp)
  • %ProgramData% (c:\ProgramData)
  • a další.

Stejné složky jsou využívány různými archivátory (Zip, RAR, 7-Zip...) při extrakci zabalených souborů. Jelikož se havěť většinou šíří jako zabalená příloha e-mailových zpráv, dokážeme vhodnými pravidly taktéž zakázat rozbalování spustitelných souborů z těchto archivů. Uživatelé tak vlastně nespustí zabalenou přílohu v e-mailové zprávě.

Upozornění

Upozornění:
Níže uvedený postup je určen pokročilým uživatelům. Nesprávnými pravidly můžete zabránit fungování legitimním (běžným) aplikacím.

nahoru

Vytvoření pravidel

číslo

Použití nástroje Místní zásady zabezpečení
Spusťte secpol.msc, klikněte pravým tlačítkem na položku Zásady omezení softwaru a zvolte Nové zásady omezení softwaru. Do stromu se přidají další položky.

Použití nástroje Editor místních zásad skupiny
Spusťte gpedit.msc a rozbalte položky Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Zásady omezení softwaru (Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies). Pokud jsou zásady prázdné přidejte je přes kontextovou nabídku.

Editor místních zásad skupin

číslo

Klikněte pravým tlačítkem na položku Další pravidla (Additional Rules) a zvolte Nové pravidlo cesty (New Path Rule). Takto postupně vytvořte nová pravidla např. s následujícími cestami a úrovní zabezpečení Nepovoleno (Dissalowed):

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  •  %LocalAppData%\*.exe
  • %LocalAppData%\*\*.exe
  • %ProgramData%\*.exe
  • %ProgramData%\*\*.exe
     

Podobná pravidla přidejte i pro další spustitelné soubory (.scr, .vbs apod) a složky podle vlastní preference. Vhodné je také omezit příponu .pdf.

Místní zásady zabezpečení

číslo

Pokud chcete omezit také rozbalování spustitelných souborů v nejpoužívanějších komprimačních programech, vytvořte ještě tato pravidla se stejnou úrovní zabezpečení jako v předchozím kroku:

  • %LocalAppData%\Temp\wz*\*.exe  - pro WinZip
  • %LocalAppData%\Temp\Rar*\*.exe  - pro WinRAR
  • %LocalAppData%\Temp\7z*\*.exe  - pro 7-Zip
  • %LocalAppData%\Temp\*.zip\*.exe - pro interní Zip v systému Windows
číslo

Je možné, že výše uvedená restriktivní pravidla budou mít dosah i na legitimní aplikace. V takové případě definujte pro tyto aplikace výjimky. Vytvoříte opět pravidla podle cesty s úrovní zabezpečení Bez omezení (Unrestricted), například s cestou %AppData%\program.exe apod.
Upozornění

Poznámka:
Zjistit, kam a co která aplikace zapisuje při svém běhu, Vám pomůže program Process Monitor. Podle jeho záznamů můžete nadefinovat vlastní pravidla a výjimky.

číslo

Nejen hrozby typu Filecoder (Cryptolocker) využívají pro své šíření protokol RDP. Doporučujeme proto ještě zakázat ve vlastnostech systému připojení k vzdálené ploše.

Vypnutí Vzdálené plochy

nahoru

Spuštění jakékoliv aplikace se zakázanou příponou bude v definovaných složkách zakázáno. Pravidla se uplatňují pouze na spuštění (otevření) souborů, přičemž soubory je vždy možné do složek uložit. Při spuštění zakázané aplikace budete upozorněni zprávou:

Chyba při spuštění blokované aplikace


Záznam o uplatněné restrikci najdete také v systémovém protokolu:

Chyba při spuštění blokované aplikace

 

Upozornění

Je dobré vědět:
Produkty ESET poskytují vysokou míru ochrany i před novými verzemi havěti, která šifruje data. Je však nutné mít aktivní systém ESET Live Grid. Dobrou ochranou je také kontrola příloh s archivy na úrovni poštovního serveru. ESET Mail Security 6 pro Exchange Server, který vyjde během 3. kvartálu, dokáže na základě pravidel smazat přílohu, která obsahuje zabalený soubor s definovanou příponou.

 nahoru

Štítky: cryptolocker, cryptowall, zbot, filecoder

Hodnocení článku (8 hlasující(ch))
Tento článek se hodil
Tento článek není nic moc

Komentáře (2)

Avatar
Vladimír Špringl
21.05.2015 12:57:37
Dobrý den, když mám %localappdata%\temp\xxx\xxx.exe, tak to již nefunguje, protože mám poze pravidlo %LocalAppData%\*\*.exe. Je nějak možné vybrat složku včetně všech podsložek?
Avatar
Martin Jonáš
25.05.2015 14:23:24
Dobrý den,
zákaz aplikujete na celou složku "%LocalAppData%\*\*.exe". Pokud Vám nefunguje zákaz pro podsložky TEMP, vytvořte pro ně jednoduše další samostatné pravidlo "%LocalAppData%\Temp\*\*.exe". Potom .exe soubory nespustíte v rámci celé složky %localappdata%. Zákazem pro složku TEMP a její podsložky však můžete znemožnit chod aplikací, např. během jejich aktualizace či instalace, kdy si do dočasné složky rozbalují soubory.
Vložit nový komentář

(Upozornění: Komentáře neslouží k řešení požadavků na technickou podporu. Pro kontaktování technické podpory klikněte sem.)

 
Ochrana před roboty 
 
Pro přidání komentáře musíte vyplnit ochranu před roboty.
Kolik je dva krát tři?