Jak zabránit spuštění havěti, která šifruje data?Autor: Martin Buchta | Poslední aktualizace: 27.07.2015 15:35:22
|
|||||||||||||||||
Trendem poslední doby je škodlivý kód, který po svém spuštění zašifruje data na pevném disku a dalších dostupných médiích. Jak minimalizovat riziko napadení tímto typem havěti jsme popisovali v tomto článku. Počítač, respektive operační systém, je však možné nastavit tak, aby nedovolil spuštění aplikace z určitých definovaných složek. Vytvořením správných politik (omezení) pro určité složky a aplikace tak dokážeme zabránit spuštění škodlivého programu. Ve Windows máme k dispozici dva nástroje: Editor místních zásad skupiny (gpedit.msc) nebo Místní zásady zabezpečení (secpol.msc). Pravidla pro spuštění aplikací je možné vytvořit lokálně či jako doménovou politiku. Oba zmiňované nástroje umožňují vytvořit vlastní Zásady omezení softwaru (Software Restriction Policies), na základě kterých můžeme blokovat spustitelné aplikace v určitých složkách. Pro obecné informace o zásadách omezení softwaru se podívejte na tyto stránky (v angličtině): » How Software Restriction Policies Work » Description of the Software Restriction Policies Alternativou je potom použití aplikace CryptoPrevent, která potřebná obecná omezení vytvoří sama a to i v domácích verzích operačního systému Windows, které výše uvedené nástroje neobsahují. Jakými pravidly omezit spuštění havěti?Škodlivý kód je vlastně běžná spustitelná aplikace a pro svůj chod využívá (stejně jako legitimní aplikace) složky:
Stejné složky jsou využívány různými archivátory (Zip, RAR, 7-Zip...) při extrakci zabalených souborů. Jelikož se havěť většinou šíří jako zabalená příloha e-mailových zpráv, dokážeme vhodnými pravidly taktéž zakázat rozbalování spustitelných souborů z těchto archivů. Uživatelé tak vlastně nespustí zabalenou přílohu v e-mailové zprávě.
Vytvoření pravidel
Spuštění jakékoliv aplikace se zakázanou příponou bude v definovaných složkách zakázáno. Pravidla se uplatňují pouze na spuštění (otevření) souborů, přičemž soubory je vždy možné do složek uložit. Při spuštění zakázané aplikace budete upozorněni zprávou:
| |||||||||||||||||
|
zákaz aplikujete na celou složku "%LocalAppData%\*\*.exe". Pokud Vám nefunguje zákaz pro podsložky TEMP, vytvořte pro ně jednoduše další samostatné pravidlo "%LocalAppData%\Temp\*\*.exe". Potom .exe soubory nespustíte v rámci celé složky %localappdata%. Zákazem pro složku TEMP a její podsložky však můžete znemožnit chod aplikací, např. během jejich aktualizace či instalace, kdy si do dočasné složky rozbalují soubory.
Komentáře (2)