Pro zajištění maximální ochrany si bezplatně aktualizujte vámi používané řešení ESET na nejnovější verzi:
Starší verze produktů ESET již nebude brzy možné provozovat na Windows 10, stejně tak aktuální produkty na systémech bez podpory SHA-2. Přehled dotčených verzí společně s možnými aktualizačními scénáři naleznete v migračním průvodci.

Databáze znalostí

Jak zabránit spuštění havěti, která šifruje data?

Autor: Martin Buchta | Poslední aktualizace: 27.07.2015 15:35:22

Trendem poslední doby je škodlivý kód, který po svém spuštění zašifruje data na pevném disku a dalších dostupných médiích. Jak minimalizovat riziko napadení tímto typem havěti jsme popisovali v tomto článku. Počítač, respektive operační systém, je však možné nastavit tak, aby nedovolil spuštění aplikace z určitých definovaných složek. Vytvořením správných politik (omezení) pro určité složky a aplikace tak dokážeme zabránit spuštění škodlivého programu. Ve Windows máme k dispozici dva nástroje: Editor místních zásad skupiny (gpedit.msc) nebo Místní zásady zabezpečení (secpol.msc). Pravidla pro spuštění aplikací je možné vytvořit lokálně či jako doménovou politiku.

Oba zmiňované nástroje umožňují vytvořit vlastní Zásady omezení softwaru (Software Restriction Policies), na základě kterých můžeme blokovat spustitelné aplikace v určitých složkách. Pro obecné informace o zásadách omezení softwaru se podívejte na tyto stránky (v angličtině):

» How Software Restriction Policies Work

» Description of the Software Restriction Policies

Alternativou je potom použití aplikace CryptoPrevent, která potřebná obecná omezení vytvoří sama a to i v domácích verzích operačního systému Windows, které výše uvedené nástroje neobsahují.

Jakými pravidly omezit spuštění havěti?

Škodlivý kód je vlastně běžná spustitelná aplikace a pro svůj chod využívá (stejně jako legitimní aplikace) složky:

  • %AppData% (C:\Users\uzivatel\AppData\Roaming)
  • %LocalAppData% (C:\Users\uzivatel\AppData\Local)
  • %LocalAppData%\Temp (C:\Users\uzivatel\AppData\Local\Temp)
  • %ProgramData% (c:\ProgramData)
  • a další.

Stejné složky jsou využívány různými archivátory (Zip, RAR, 7-Zip...) při extrakci zabalených souborů. Jelikož se havěť většinou šíří jako zabalená příloha e-mailových zpráv, dokážeme vhodnými pravidly taktéž zakázat rozbalování spustitelných souborů z těchto archivů. Uživatelé tak vlastně nespustí zabalenou přílohu v e-mailové zprávě.

Upozornění

Upozornění:
Níže uvedený postup je určen pokročilým uživatelům. Nesprávnými pravidly můžete zabránit fungování legitimním (běžným) aplikacím.

nahoru

Vytvoření pravidel

číslo

Použití nástroje Místní zásady zabezpečení
Spusťte secpol.msc, klikněte pravým tlačítkem na položku Zásady omezení softwaru a zvolte Nové zásady omezení softwaru. Do stromu se přidají další položky.

Použití nástroje Editor místních zásad skupiny
Spusťte gpedit.msc a rozbalte položky Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Zásady omezení softwaru (Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies). Pokud jsou zásady prázdné přidejte je přes kontextovou nabídku.

Editor místních zásad skupin

číslo

Klikněte pravým tlačítkem na položku Další pravidla (Additional Rules) a zvolte Nové pravidlo cesty (New Path Rule). Takto postupně vytvořte nová pravidla např. s následujícími cestami a úrovní zabezpečení Nepovoleno (Dissalowed):

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  •  %LocalAppData%\*.exe
  • %LocalAppData%\*\*.exe
  • %ProgramData%\*.exe
  • %ProgramData%\*\*.exe
     

Podobná pravidla přidejte i pro další spustitelné soubory (.scr, .vbs apod) a složky podle vlastní preference. Vhodné je také omezit příponu .pdf.

Místní zásady zabezpečení

číslo

Pokud chcete omezit také rozbalování spustitelných souborů v nejpoužívanějších komprimačních programech, vytvořte ještě tato pravidla se stejnou úrovní zabezpečení jako v předchozím kroku:

  • %LocalAppData%\Temp\wz*\*.exe  - pro WinZip
  • %LocalAppData%\Temp\Rar*\*.exe  - pro WinRAR
  • %LocalAppData%\Temp\7z*\*.exe  - pro 7-Zip
  • %LocalAppData%\Temp\*.zip\*.exe - pro interní Zip v systému Windows
číslo

Je možné, že výše uvedená restriktivní pravidla budou mít dosah i na legitimní aplikace. V takové případě definujte pro tyto aplikace výjimky. Vytvoříte opět pravidla podle cesty s úrovní zabezpečení Bez omezení (Unrestricted), například s cestou %AppData%\program.exe apod.
Upozornění

Poznámka:
Zjistit, kam a co která aplikace zapisuje při svém běhu, Vám pomůže program Process Monitor. Podle jeho záznamů můžete nadefinovat vlastní pravidla a výjimky.

číslo

Nejen hrozby typu Filecoder (Cryptolocker) využívají pro své šíření protokol RDP. Doporučujeme proto ještě zakázat ve vlastnostech systému připojení k vzdálené ploše.

Vypnutí Vzdálené plochy

nahoru

Spuštění jakékoliv aplikace se zakázanou příponou bude v definovaných složkách zakázáno. Pravidla se uplatňují pouze na spuštění (otevření) souborů, přičemž soubory je vždy možné do složek uložit. Při spuštění zakázané aplikace budete upozorněni zprávou:

Chyba při spuštění blokované aplikace


Záznam o uplatněné restrikci najdete také v systémovém protokolu:

Chyba při spuštění blokované aplikace

 

Upozornění

Je dobré vědět:
Produkty ESET poskytují vysokou míru ochrany i před novými verzemi havěti, která šifruje data. Je však nutné mít aktivní systém ESET Live Grid. Dobrou ochranou je také kontrola příloh s archivy na úrovni poštovního serveru. ESET Mail Security 6 pro Exchange Server, který vyjde během 3. kvartálu, dokáže na základě pravidel smazat přílohu, která obsahuje zabalený soubor s definovanou příponou.

 nahoru

Štítky: cryptolocker, cryptowall, zbot, filecoder

Hodnocení článku (9 hlasující(ch))
Tento článek se hodil
Tento článek není nic moc