• Ogłoszenie:

Cerber, cryptolocker (szyfratory) - jak się zabezpieczyć

Poradniki związane z bezpieczeństwem systemów operacyjnych.

Cerber, cryptolocker (szyfratory) - jak się zabezpieczyć

Postprzez Łowca Androidów 01 Cze 2016, 08:52

reklama
Witam.
Poniżej podaję sposób na zabezpieczenie systemu przed popularnymi coraz bardziej szyfratorami (cerber, cryptolocker itp), które szyfrują nasze cenne dane.

Są dwa sposoby:

1.
Zainstalować program WinAntiRansom Explorer
Program blokuje nieautoryzowane próby uruchomienia się plików wykonywalnych. Program jest płatny.

2.
Można wprowadzić odpowiednie zmiany do rejestru. Utowrzyć tzw. białą listę programów czyli programów które mogą być uruchamiane. Jest to na początku żmudna praca bo do rejestru trzeba dodać pliki exe danych programów. Można sobie utworzyć plik .reg i jednoklikem wprowadzić zmiany w rejestrze.
WAŻNE!!!
Na takiej liście koniecznie musi się znaleźć regedit.exe abyśmy mogli w razie czego dodać lub usunąć wpis

Jak to zrobić?
Poniżej podaję przykładowy plik .reg - wystarczy wyedytować nazwy plików .exe w cudzysłowiach i zapisać zmiany, a następnie zaimportować plik do rejestru.

Poniższe wklejamy do notatanika i zapisujemy jako "restriction.reg" - razem z cudzysłowiem:
Kod: Zaznacz wszystko
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"RestrictRun"="1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"000"="cistray.exe"
"001"="NetSendGUI.exe"
"002"="AcroRd32.exe"
"003"="Howard.exe"
"004"="touchcursor.exe"
"005"="msimn.exe"
"006"="WINWORD.exe"
"007"="EXCEL.exe"
"008"="CDNXL.exe"
"009"="SanelApplications.exe"
"010"="regedit.exe"
"011"="cmd.exe"
"012"="SanelApplications.exe"
"014"="notepad.exe"
"015"="chomikbox.exe"
"016"="FreemakeVideoConverter.exe"
"017"="FreemakeVideoDownloader.exe"
"018"="CryptoPrevent.exe"
"019"="notepad++.exe"
"020"="procexp.exe"
"021"="winamp.exe"
"022"="firefox.exe"
"023"="TeamViewer.exe"
"024"="BlackBerryLink.exe"
"024"="audacity.exe"
"025"="launcher.exe"
"026"="opera.exe"
"027"="MEGAsync.exe"
"028"="UsbFix.exe"
"029"="FRST.exe"
"030"="FRST64.exe"
"031"="TweakingRegistryBackup.exe"
"032"="adwcleaner_5.115.exe"
"033"="JRT.exe"
"034"="FixExec.exe"
"035"="Autoruns.exe"
"036"="ComboFix.exe"
"037"="CintaNotes.exe"
"038"="delfix_1.013.exe"
"039"="WiseProgramUninstaller.exe"
"040"="Revouninstaller.exe"
"041"="Everything.exe"
"042"="DictWnd.exe"
"043"="OSFMount.exe"
"044"="soffice.exe"
"045"="BitTorrent.exe"
"046"="nvda_slave.exe"
"047"="nvda.exe"
"048"="nvda_noUIAccess.exe"
"049"="nvda_service.exe"
"050"="nvda_uiAccess.exe"
"051"="7z.exe"
"052"="7zFM.exe"
"053"="7zG.exe"
"054"="AcroRd32.exe"
"055"="AcroRd32Info.exe"
"056"="AcroTextExtractor.exe"
"057"="Eula.exe"
"058"="LogTransport2.exe"
"059"="PDFPrevHndlrShim.exe"
"060"="reader_sl.exe"
"061"="wow_helper.exe"
"062"="wtw.exe"
"063"="Vista Paint.exe"
"064"="pdfsam-starter.exe"
"065"="nazwy.exe"
"066"="cistray.exe"
"067"="TrueCrypt.exe"
"068"="TotalCommanderPortable.exe"
"069"="TOTALCMD.EXE"
"070"="FineReader.exe"
"071"="ABBYYFineReaderPortable.exe"
"072"="ScreenshotReaderPortable.exe"
"073"="ScanTwain.exe"
"074"="ScanWia.exe"
"075"="TrigrammsInstaller.exe"
"076"="PhotoshopCS5Portable.exe"
"077"="PhotoshopCS6Portable.exe"
"078"="explorer.exe"
"079"="Imienniczek.exe"
"080"="NeroPortable.exe"
"081"="TeraCopy.exe"
"082"="cmdagent.exe"
"083"="cmdinstall.exe"
"084"="cmdupd.exe"
"085"="cmdvirth.exe"
"086"="virtkiosk.exe"
"087"="bsm_chrome.exe"
"088"="cavscan.exe"
"089"="cavwp.exe"
"090"="cfpconfg.exe"
"091"="cisbf.exe"
"092"="cmdagent.exe"
"093"="mpc-hc.exe"
"094"="Everything-1.2.1.371.exe"
"095"="sndrec32.exe"
"096"="sndvol32.exe"
"097"="calc.exe"
"098"=""LaunchWebUI.exe"

System działa stabilnie, lista ta nie blokuje procesów systemowych i jego usług.
UWAGA!!!
Przed wykonaniem powyższego należy wykonać kopię rejestru.

Testowałem to na trzech plikach:
  • invoice_scan_XuuVC7.docx.js
  • rechnung_86442562327646.exe
  • 74efa661fd34.exe
Wypakowałem - nic nie zostalo zaszyfrowane.
Uruchomiłem ręcznie pliki - zostaly zablokowane.

Jeśli uznamy, że biała lista jest dla nas zbyt uciążliwa wystarczy usunąć wpisy z rejestru.
UWAGA!!!
Usuwamy w kolejności jak podaję:
1.
Z lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer usuwamy wartość DWORD o nazwie RestrictRun

2.
Z lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer usuwamy klucz o nazwie RestrictRun

3.
Zamykamy edytor rejestru i uruchamiamy ponownie komputer.
Wszelkie blokady zostaly wyłaczone.

Autor postu otrzymał pochwałę
Awatar użytkownika
Łowca Androidów
»ekspert
»ekspert
 
Posty: 2117
Dołączenie: 11 Kwi 2014, 13:03
Pochwały: 105



Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 1 gość