Databáze znalostí: Obecné informace a návody > Antivirová ambulance

Jak zabránit spuštění havěti, která šifruje data?

Autor: | Poslední úprava: 14.10.2020 17:11:14

Trendem poslední doby je škodlivý kód, který po svém spuštění zašifruje data na pevném disku a dalších dostupných médiích. Jak minimalizovat riziko napadení tímto typem havěti jsme popisovali v tomto článku. Počítač, respektive operační systém, je však možné nastavit tak, aby nedovolil spuštění aplikace z určitých definovaných složek. Vytvořením správných politik (omezení) pro určité složky a aplikace tak dokážeme zabránit spuštění škodlivého programu. Ve Windows máme k dispozici dva nástroje: Editor místních zásad skupiny (gpedit.msc) nebo Místní zásady zabezpečení (secpol.msc). Pravidla pro spuštění aplikací je možné vytvořit lokálně či jako doménovou politiku.

Oba zmiňované nástroje umožňují vytvořit vlastní Zásady omezení softwaru (Software Restriction Policies), na základě kterých můžeme blokovat spustitelné aplikace v určitých složkách. Pro obecné informace o zásadách omezení softwaru se podívejte na tyto stránky (v angličtině):

» How Software Restriction Policies Work

» Description of the Software Restriction Policies in Windows 10

Alternativou je potom použití aplikace CryptoPrevent, která potřebná obecná omezení vytvoří sama, a to i v domácích verzích operačního systému Windows, které výše uvedené nástroje neobsahují.

Jakými pravidly omezit spuštění havěti?

Škodlivý kód je vlastně běžná spustitelná aplikace a pro svůj chod využívá (stejně jako legitimní aplikace) složky:

  • %AppData% (C:\Users\uzivatel\AppData\Roaming)
  • %LocalAppData% (C:\Users\uzivatel\AppData\Local)
  • %LocalAppData%\Temp (C:\Users\uzivatel\AppData\Local\Temp)
  • %ProgramData% (c:\ProgramData)
  • a další.

Stejné složky jsou využívány různými archivátory (Zip, RAR, 7-Zip...) při extrakci zabalených souborů. Jelikož se havěť většinou šíří jako zabalená příloha e-mailových zpráv, dokážeme vhodnými pravidly taktéž zakázat rozbalování spustitelných souborů z těchto archivů. Uživatelé tak vlastně nespustí zabalenou přílohu v e-mailové zprávě.

Důležité:
Níže uvedený postup je určen pokročilým uživatelům. Nesprávnými pravidly můžete zabránit fungování legitimním (běžným) aplikacím.

Vytvoření pravidel

Použití nástroje Místní zásady zabezpečení
Spusťte secpol.msc, klikněte pravým tlačítkem na položku Zásady omezení softwaru a zvolte Nové zásady omezení softwaru. Do stromu se přidají další položky.

Použití nástroje Editor místních zásad skupiny
Spusťte gpedit.msc a rozbalte položky Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Zásady omezení softwaru (v angličtině Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies). Pokud jsou zásady prázdné, přidejte je přes kontextovou nabídku.

Editor místních zásad skupin

Klikněte pravým tlačítkem na položku Další pravidla (Additional Rules) a zvolte Nové pravidlo cesty (New Path Rule). Takto postupně vytvořte nová pravidla např. s následujícími cestami a úrovní zabezpečení Nepovoleno (Dissalowed):

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  •  %LocalAppData%\*.exe
  • %LocalAppData%\*\*.exe
  • %ProgramData%\*.exe
  • %ProgramData%\*\*.exe
     

Podobná pravidla přidejte i pro další spustitelné soubory (.scr, .vbs apod) a složky podle vlastní preference. Vhodné je také omezit příponu .pdf.

Místní zásady zabezpečení

Pokud chcete omezit také rozbalování spustitelných souborů v nejpoužívanějších komprimačních programech, vytvořte ještě tato pravidla se stejnou úrovní zabezpečení, jako v předchozím kroku:

  • %LocalAppData%\Temp\wz*\*.exe  - pro WinZip
  • %LocalAppData%\Temp\Rar*\*.exe  - pro WinRAR
  • %LocalAppData%\Temp\7z*\*.exe  - pro 7-Zip
  • %LocalAppData%\Temp\*.zip\*.exe - pro interní Zip v systému Windows

Je možné, že výše uvedená restriktivní pravidla budou mít dosah i na legitimní aplikace. V takovém případě definujte pro tyto aplikace výjimky. Vytvoříte opět pravidla podle cesty s úrovní zabezpečení Bez omezení (Unrestricted), např. s cestou %AppData%\program.exe apod.

Poznámka:
Zjistit, kam a co která aplikace zapisuje při svém běhu, vám pomůže program Process Monitor. Podle jeho záznamů můžete nadefinovat vlastní pravidla a výjimky.

Nejen hrozby typu Filecoder (Cryptolocker) využívají pro své šíření protokol RDP. Doporučujeme proto ještě zakázat ve vlastnostech systému připojení k vzdálené ploše.

Vypnutí Vzdálené plochy

Spuštění jakékoliv aplikace se zakázanou příponou bude v definovaných složkách zakázáno. Pravidla se uplatňují pouze na spuštění (otevření) souborů, přičemž soubory je vždy možné do složek uložit. Při spuštění zakázané aplikace budete upozorněni zprávou:

Chyba při spuštění blokované aplikace

Záznam o uplatněné restrikci najdete také v systémovém protokolu:

Chyba při spuštění blokované aplikace

 

Je dobré vědět:
Produkty ESET poskytují vysokou míru ochrany i před novými verzemi havěti, která šifruje data. Je však nutné mít aktivní systém ESET Live Grid. Dobrou ochranou je také kontrola příloh s archivy na úrovni poštovního serveru. ESET Mail Security od verze 6 pro Exchange Server, dokáže na základě pravidel smazat přílohu, která obsahuje zabalený soubor s definovanou příponou.

Štítky: cryptolocker, cryptowall, zbot, filecoder