Jak zabránit spuštění havěti, která šifruje data?Autor: | Poslední úprava: 14.10.2020 17:11:14
|
|
Trendem poslední doby je škodlivý kód, který po svém spuštění zašifruje data na pevném disku a dalších dostupných médiích. Jak minimalizovat riziko napadení tímto typem havěti jsme popisovali v tomto článku. Počítač, respektive operační systém, je však možné nastavit tak, aby nedovolil spuštění aplikace z určitých definovaných složek. Vytvořením správných politik (omezení) pro určité složky a aplikace tak dokážeme zabránit spuštění škodlivého programu. Ve Windows máme k dispozici dva nástroje: Editor místních zásad skupiny (gpedit.msc) nebo Místní zásady zabezpečení (secpol.msc). Pravidla pro spuštění aplikací je možné vytvořit lokálně či jako doménovou politiku. Oba zmiňované nástroje umožňují vytvořit vlastní Zásady omezení softwaru (Software Restriction Policies), na základě kterých můžeme blokovat spustitelné aplikace v určitých složkách. Pro obecné informace o zásadách omezení softwaru se podívejte na tyto stránky (v angličtině): » How Software Restriction Policies Work » Description of the Software Restriction Policies in Windows 10 Alternativou je potom použití aplikace CryptoPrevent, která potřebná obecná omezení vytvoří sama, a to i v domácích verzích operačního systému Windows, které výše uvedené nástroje neobsahují. Jakými pravidly omezit spuštění havěti?Škodlivý kód je vlastně běžná spustitelná aplikace a pro svůj chod využívá (stejně jako legitimní aplikace) složky:
Stejné složky jsou využívány různými archivátory (Zip, RAR, 7-Zip...) při extrakci zabalených souborů. Jelikož se havěť většinou šíří jako zabalená příloha e-mailových zpráv, dokážeme vhodnými pravidly taktéž zakázat rozbalování spustitelných souborů z těchto archivů. Uživatelé tak vlastně nespustí zabalenou přílohu v e-mailové zprávě. Důležité: Vytvoření pravidelPoužití nástroje Místní zásady zabezpečení Použití nástroje Editor místních zásad skupiny Klikněte pravým tlačítkem na položku Další pravidla (Additional Rules) a zvolte Nové pravidlo cesty (New Path Rule). Takto postupně vytvořte nová pravidla např. s následujícími cestami a úrovní zabezpečení Nepovoleno (Dissalowed):
Podobná pravidla přidejte i pro další spustitelné soubory (.scr, .vbs apod) a složky podle vlastní preference. Vhodné je také omezit příponu .pdf. Pokud chcete omezit také rozbalování spustitelných souborů v nejpoužívanějších komprimačních programech, vytvořte ještě tato pravidla se stejnou úrovní zabezpečení, jako v předchozím kroku:
Je možné, že výše uvedená restriktivní pravidla budou mít dosah i na legitimní aplikace. V takovém případě definujte pro tyto aplikace výjimky. Vytvoříte opět pravidla podle cesty s úrovní zabezpečení Bez omezení (Unrestricted), např. s cestou %AppData%\program.exe apod. Poznámka: Nejen hrozby typu Filecoder (Cryptolocker) využívají pro své šíření protokol RDP. Doporučujeme proto ještě zakázat ve vlastnostech systému připojení k vzdálené ploše. Spuštění jakékoliv aplikace se zakázanou příponou bude v definovaných složkách zakázáno. Pravidla se uplatňují pouze na spuštění (otevření) souborů, přičemž soubory je vždy možné do složek uložit. Při spuštění zakázané aplikace budete upozorněni zprávou: Záznam o uplatněné restrikci najdete také v systémovém protokolu:
Je dobré vědět: Štítky: cryptolocker, cryptowall, zbot, filecoder | |
|