|
Читайте также: |
Приложение 1: Список наиболее вероятных мест, где могут находиться файлы шифровальщиков.
APPDATA
Диск:\Documents and Settings\%UserName%\Application Data\ (NT/2000/XP)
Диск:\Users\%UserName%\AppData\Roaming\ (Vista/7/8)
"%USERPROFILE%\AppData\Local" (Vista/7/8)
"%USERPROFILE%\Local Settings\Application Data" NT/2000/XP)
TEMP (временный каталог):
%TEMP%\???????.tmp\ (пример: temp\vum35a5.tmp)
%TEMP%\???????.tmp\??\ (пример: temp\7ze5418.tmp\mp)
%TEMP%\???????\ (пример: temp\pcrdd27)
%WINDIR%\Temp
Временный каталог Internet:
"%USERPROFILE%\Local Settings\Temporary Internet Files\" (NT/2000/XP)
"%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\" (Vista/7/8)
..\temporary internet files\content.ie5\
..\temporary internet files\content.ie5\????????\ (? -- a-z, 0-9)
Рабочий стол:
"%UserProfile%\Desktop\"
Корзина:
Диск:\Recycler\
Диск:\$Recycle.Bin\
Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (? -- 0-9)
Системный каталог:
"%WinDir%"
"%SystemRoot%\system32\"
Каталог документов пользователя:
%USERPROFILE%\Мои документы\
%USERPROFILE%\Мои документы\Downloads
Каталог для скачивания файлов в браузере
%USERPROFILE%\Downloads
Каталог автозагрузки
%USERPROFILE%\главное меню\программы\автозагрузка
Приложение 2: Принципы настройки продуктов Лаборатории Касперского для повышения уровня защищённости системы.
Принцип «запрет по умолчанию»:
Суть принципа: запретить запускаться неизвестным программам.
Результат: если шифровальщик будет классифицирован как «неизвестная программа», то его запуск будет запрещён и он не сможет зашифровать файлы.
Как реализовать:
-WKS6 – никак
-KES8, KES10, KIS-ы:
Средствами компонента «Application Startup Control».
1. Необходимо создать новое правило:
Название: любое
Описание: любое
Включающие Условия: нажимаем кнопку добавить и выбираем «Условие(я) «KL-категория» необходимо выставить все галки, кроме последних двух категорий - «другие программы» и «Некатегоризированные программы».
Пользователи и / или, группы получающие разрешение: все
2. Новое правило необходимо включить.
3. Правило «Разрешить всё» необходимо выключить.
Средствами компонента «Application Privilege Control».
Выставить две галки («загружать правили из KSN», и «доверять подписанным файлам»), выставить опцию «автоматически помещать приложения в группу» в статус «Untrusted». В этом случае все неподписанное и не известное по KSN будет запрещено к запуску.
Принцип: детектирование по поведению
Суть принципа: шифровальщик может обладать характерным поведением, которое может детектироваться соответствующими поведенческими вердиктам (например «обеспечить свой запуск при каждой загрузке ОС», или «модификация нескольких файлов определенных форматов»)
Результат: после запуска шифровальщика и проявления им характерной активности он детектируется продуктом, процесс завершается и файл из которого он был запущен помещается на карантин (или удаляется). При этом возможно, что часть файлов будет все-таки зашифрована (но не весь диск), т.к. детект произойдет на достаточно ранней стадии.
Как реализовать:
- KES8, KES10
Этот принцип реализован в компоненте «мониторинг активности» (SystemWatcher). По умолчанию этот компонент включён.
- WKS6
-На FileServer-е – никак.
-на EndPoint-е
1. Включить PDM (проактивную защиту). По умолчанию, этот компонент выключен.
2. В разделе настройки проактивной защиты:
Событие: установить галки напротив «Активность, характерная для Троянских программ», «Скрытая установка драйвера», «Скрытый процесс»
Действие: завершить процесс.
Принцип: ограничение сетевой активности
Суть принципа: запретить неизвестным программам выход в сеть.
Результат: шифровальщики получающие уникальный ключ для шифрования через интернет - не смогут его получить и не будут шифровать файлы.
Как реализовать:
-WKS6:
Необходимо настроить компонент «Анти-Хакер»:
1. В режиме «обучения» создать разрешающие правила так, чтобы всем нужным программам был разрешен выход в сеть.
2. Перевести компонент «Анти-Хакер» в режим «Максимальная защита» (будут запрещены все соединения, кроме явно разрешенных).
-KES8, KES10, KIS-ы:
Необходимо настроить компонент «Сетевой экран» (FireWall) так, чтобы «доверенным» программам был разрешен доступ в сеть, а «остальным» (LowRestricted, HiRestricted, Untrusted) – запрещён.
Принцип: ограничение файловой активности
Суть принципа: ограничение прав доступа к защищаемым типам файлов программ с низким уровнем доверия, с помощью компонента «контроль программ». Под защищаемыми типами файлов подразумеваются пользовательские файлы с определёнными расширениями. Это могут быть текстовые файлы (.doc,.docx), таблицы (.xls,.xlsx,.csv), файлы баз данных (.sqlite,.dbf,.1cd), архивы (.rar,.zip,.7z) – т.е. все те файлы, в которых хранится важная для пользователя информация.
Результат: В случае заражения, вредоносная программа не будет отнесена к группе доверенного ПО и при попытке изменить или удалить важный файл, “контроль программ” либо выдаст предупреждение, либо вообще запретит это действие. Таким образом, файлы останутся в сохранности.
Как реализовать:
-WKS6 – никак
-KES8, KES10, KIS-ы
Необходимо настроить компонент «Контроль программ» (см инструкцию ниже):
Настройка компонента «контроль программ» для реализации метода ограничения файловой активности
Добавление типов файлов в настройки “Контроля программ”
Для начала необходимо добавить новую категорию пользовательских ресурсов в настройках контроля программ. Для этого нужно открыть окно настроек антивируса и выбрать раздел “Контроль программ”. После этого нужно нажать кнопку “Защита данных”:
В появившемся окне в категории персональных данных необходимо нажать кнопку “Добавить” и выбрать произвольное имя для нового раздела:
После нажатия кнопки “OK” в дереве ресурсов появится ещё один элемент (раздел “Защищаемые типы файлов”).
В этом разделе можно создать несколько подразделов, например:
· Документы
· Изображения
· Базы данных
· Архивы
· Мультимедиа
После этого необходимо добавить защищаемые типы файлов. Для этого нужно выбрать подходящую категорию и нажать кнопку “Добавить” и выбрать пункт “Файл или папка”. Вместо пути необходимо указать маску на тип файла в виде:
*.<расширение>
Например, добавим в категорию “Документы” тип файла “.doc”:
В окне “Пользовательский ресурс” нужно нажать кнопку “Обзор” и ввести маску *.doc:
После этого нужно нажать кнопку “ОК” и еще раз “ОК” (название рекомендуется не менять).
В списке появился новый защищаемый тип файлов:
Таким же образом необходимо добавить другие важные типы файлов. Ниже приведена таблица типов файлов, которые рекомендуется добавить.
После добавления всех файлов, необходимо в окне “Защита персональных данных” нажать кнопку “ОК”, удостовериться, что “Контроль программ” включён с рекомендуемыми настройками и нажать кнопку “Применить”:
| Документы | .doc |
| .docx | |
| .ppt | |
| .pptx | |
| .rtf | |
| .odt | |
| .odp | |
| .ods | |
| .djvu | |
| Изображения | .jpg |
| .jpeg | |
| .bmp | |
| .gif | |
| .png | |
| .psd | |
| .cdr | |
| .dwg | |
| .max | |
| .3ds | |
| Архивы | .rar |
| .zip | |
| .7z | |
| .tar | |
| .gz | |
| Мультимедиа | .avi |
| .mp3 | |
| .wav | |
| .mkv | |
| .flac | |
| .mp4 | |
| .mov | |
| .wmv | |
| Базы данных | .mdb |
| .1cd | |
| .sqlite | |
| .sql | |
| Остальное | .kwm |
| .iso | |
| .torrent | |
| .php | |
| .c | |
| .cpp | |
| .pas | |
| .cer | |
| .key | |
| .pst | |
| .lnk |
Создание правил для программ
Для отключения автоматического выбора действия антивирусом необходимо снять галочку с пункта “Выбирать действие автоматически” в окне основных параметров:
После этого необходимо открыть окно настройки доступа для программ путём нажатия кнопки “Программы” в настройках контроля программ:
Далее необходимо удостовериться, что программы из “Доверенной” группы могут производить любые действия над защищаемыми типами файлов. Для этого нужно щёлкнуть правой кнопкой мыши по группе “Доверенные” и выбрать пункт меню “Правила группы”:
На вкладке “Файлы и системный реестр” должны стоять зелёные галочки напротив ресурса “Защищаемые типы файлов”:
После этого необходимо удостовериться, что программы из группы “Слабые ограничения” и “Сильные ограничения” не смогут работать с файлами без ведома пользователя. Напротив группы “Защищаемые типы файлов” должны быть символы вопросительного знака на фоне оранжевого круга:
Это значит, что при попытке взаимодействия программы из групп “Слабые ограничения”/”Сильные ограничения” с файлом защищаемого типа отобразится окно предупреждения:
В случае возникновения такого предупреждения, необходимо проверить, чтобы все программы, отображенные в списке последовательности запуска программ были легитимными (т.е. имели группу “Доверенные”, цифровую подпись, большое кол-во пользователей в KSN) путём нажатия на их названия. Если какая-то из них не была отнесена к категории “доверенных”, но не является вредоносной, необходимо разрешить взаимодействие с защищаемыми файлами:
Дата добавления: 2015-07-11; просмотров: 70 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Использование службы защиты системы на всех дисках. | | | УСТРОЙСТВО ТРЁХФАЗНОЙ АСИНХРОННОЙ МАШИНЫ |