Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Написать заявление в Полицию.

Читайте также:
  1. АНКЕТА-ЗАЯВЛЕНИЕ
  2. ЗАЯВЛЕНИЕ
  3. ЗАЯВЛЕНИЕ
  4. Заявление
  5. ЗАЯВЛЕНИЕ
  6. Заявление
  7. ЗАЯВЛЕНИЕ

 

Приложение 1: Список наиболее вероятных мест, где могут находиться файлы шифровальщиков.

 

APPDATA

Диск:\Documents and Settings\%UserName%\Application Data\ (NT/2000/XP)

Диск:\Users\%UserName%\AppData\Roaming\ (Vista/7/8)

"%USERPROFILE%\AppData\Local" (Vista/7/8)

"%USERPROFILE%\Local Settings\Application Data" NT/2000/XP)

 

TEMP (временный каталог):

%TEMP%\???????.tmp\ (пример: temp\vum35a5.tmp)

%TEMP%\???????.tmp\??\ (пример: temp\7ze5418.tmp\mp)

%TEMP%\???????\ (пример: temp\pcrdd27)

%WINDIR%\Temp

 

Временный каталог Internet:

"%USERPROFILE%\Local Settings\Temporary Internet Files\" (NT/2000/XP)

"%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\" (Vista/7/8)

..\temporary internet files\content.ie5\

..\temporary internet files\content.ie5\????????\ (? -- a-z, 0-9)

 

Рабочий стол:

"%UserProfile%\Desktop\"

 

Корзина:

Диск:\Recycler\

Диск:\$Recycle.Bin\

Диск:\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (? -- 0-9)

 

Системный каталог:

"%WinDir%"

"%SystemRoot%\system32\"

 

Каталог документов пользователя:

%USERPROFILE%\Мои документы\

%USERPROFILE%\Мои документы\Downloads

 

Каталог для скачивания файлов в браузере

%USERPROFILE%\Downloads

 

Каталог автозагрузки

%USERPROFILE%\главное меню\программы\автозагрузка


Приложение 2: Принципы настройки продуктов Лаборатории Касперского для повышения уровня защищённости системы.

Принцип «запрет по умолчанию»:

Суть принципа: запретить запускаться неизвестным программам.

 

Результат: если шифровальщик будет классифицирован как «неизвестная программа», то его запуск будет запрещён и он не сможет зашифровать файлы.

 

Как реализовать:

-WKS6 – никак

-KES8, KES10, KIS-ы:

Средствами компонента «Application Startup Control».

1. Необходимо создать новое правило:

Название: любое

Описание: любое

Включающие Условия: нажимаем кнопку добавить и выбираем «Условие(я) «KL-категория» необходимо выставить все галки, кроме последних двух категорий - «другие программы» и «Некатегоризированные программы».

Пользователи и / или, группы получающие разрешение: все

 

2. Новое правило необходимо включить.

3. Правило «Разрешить всё» необходимо выключить.

 

Средствами компонента «Application Privilege Control».

Выставить две галки («загружать правили из KSN», и «доверять подписанным файлам»), выставить опцию «автоматически помещать приложения в группу» в статус «Untrusted». В этом случае все неподписанное и не известное по KSN будет запрещено к запуску.

 

Принцип: детектирование по поведению

Суть принципа: шифровальщик может обладать характерным поведением, которое может детектироваться соответствующими поведенческими вердиктам (например «обеспечить свой запуск при каждой загрузке ОС», или «модификация нескольких файлов определенных форматов»)

 

Результат: после запуска шифровальщика и проявления им характерной активности он детектируется продуктом, процесс завершается и файл из которого он был запущен помещается на карантин (или удаляется). При этом возможно, что часть файлов будет все-таки зашифрована (но не весь диск), т.к. детект произойдет на достаточно ранней стадии.

 

Как реализовать:

- KES8, KES10

Этот принцип реализован в компоненте «мониторинг активности» (SystemWatcher). По умолчанию этот компонент включён.

- WKS6

-На FileServer-е – никак.

-на EndPoint-е

1. Включить PDM (проактивную защиту). По умолчанию, этот компонент выключен.

2. В разделе настройки проактивной защиты:

Событие: установить галки напротив «Активность, характерная для Троянских программ», «Скрытая установка драйвера», «Скрытый процесс»

Действие: завершить процесс.

 

Принцип: ограничение сетевой активности

Суть принципа: запретить неизвестным программам выход в сеть.

 

Результат: шифровальщики получающие уникальный ключ для шифрования через интернет - не смогут его получить и не будут шифровать файлы.

 

Как реализовать:

-WKS6:

Необходимо настроить компонент «Анти-Хакер»:

1. В режиме «обучения» создать разрешающие правила так, чтобы всем нужным программам был разрешен выход в сеть.

2. Перевести компонент «Анти-Хакер» в режим «Максимальная защита» (будут запрещены все соединения, кроме явно разрешенных).

 

-KES8, KES10, KIS-ы:

Необходимо настроить компонент «Сетевой экран» (FireWall) так, чтобы «доверенным» программам был разрешен доступ в сеть, а «остальным» (LowRestricted, HiRestricted, Untrusted) – запрещён.

 

Принцип: ограничение файловой активности

Суть принципа: ограничение прав доступа к защищаемым типам файлов программ с низким уровнем доверия, с помощью компонента «контроль программ». Под защищаемыми типами файлов подразумеваются пользовательские файлы с определёнными расширениями. Это могут быть текстовые файлы (.doc,.docx), таблицы (.xls,.xlsx,.csv), файлы баз данных (.sqlite,.dbf,.1cd), архивы (.rar,.zip,.7z) – т.е. все те файлы, в которых хранится важная для пользователя информация.

Результат: В случае заражения, вредоносная программа не будет отнесена к группе доверенного ПО и при попытке изменить или удалить важный файл, “контроль программ” либо выдаст предупреждение, либо вообще запретит это действие. Таким образом, файлы останутся в сохранности.

 

Как реализовать:

-WKS6 – никак

-KES8, KES10, KIS-ы

Необходимо настроить компонент «Контроль программ» (см инструкцию ниже):

Настройка компонента «контроль программ» для реализации метода ограничения файловой активности

Добавление типов файлов в настройки “Контроля программ”

 

Для начала необходимо добавить новую категорию пользовательских ресурсов в настройках контроля программ. Для этого нужно открыть окно настроек антивируса и выбрать раздел “Контроль программ”. После этого нужно нажать кнопку “Защита данных”:

В появившемся окне в категории персональных данных необходимо нажать кнопку “Добавить” и выбрать произвольное имя для нового раздела:

После нажатия кнопки “OK” в дереве ресурсов появится ещё один элемент (раздел “Защищаемые типы файлов”).

В этом разделе можно создать несколько подразделов, например:

· Документы

· Изображения

· Базы данных

· Архивы

· Мультимедиа

 

После этого необходимо добавить защищаемые типы файлов. Для этого нужно выбрать подходящую категорию и нажать кнопку “Добавить” и выбрать пункт “Файл или папка”. Вместо пути необходимо указать маску на тип файла в виде:

*.<расширение>

Например, добавим в категорию “Документы” тип файла “.doc”:

 

В окне “Пользовательский ресурс” нужно нажать кнопку “Обзор” и ввести маску *.doc:

После этого нужно нажать кнопку “ОК” и еще раз “ОК” (название рекомендуется не менять).

В списке появился новый защищаемый тип файлов:

Таким же образом необходимо добавить другие важные типы файлов. Ниже приведена таблица типов файлов, которые рекомендуется добавить.

После добавления всех файлов, необходимо в окне “Защита персональных данных” нажать кнопку “ОК”, удостовериться, что “Контроль программ” включён с рекомендуемыми настройками и нажать кнопку “Применить”:

 

Документы .doc
.docx
.pdf
.ppt
.pptx
.rtf
.odt
.odp
.ods
.djvu
Изображения .jpg
.jpeg
.bmp
.gif
.png
.psd
.cdr
.dwg
.max
.3ds
Архивы .rar
.zip
.7z
.tar
.gz
Мультимедиа .avi
.mp3
.wav
.mkv
.flac
.mp4
.mov
.wmv
Базы данных .mdb
.1cd
.sqlite
.sql
Остальное .kwm
.iso
.torrent
.php
.c
.cpp
.pas
.cer
.key
.pst
.lnk

 

Создание правил для программ

 

Для отключения автоматического выбора действия антивирусом необходимо снять галочку с пункта “Выбирать действие автоматически” в окне основных параметров:

После этого необходимо открыть окно настройки доступа для программ путём нажатия кнопки “Программы” в настройках контроля программ:

Далее необходимо удостовериться, что программы из “Доверенной” группы могут производить любые действия над защищаемыми типами файлов. Для этого нужно щёлкнуть правой кнопкой мыши по группе “Доверенные” и выбрать пункт меню “Правила группы”:

На вкладке “Файлы и системный реестр” должны стоять зелёные галочки напротив ресурса “Защищаемые типы файлов”:

После этого необходимо удостовериться, что программы из группы “Слабые ограничения” и “Сильные ограничения” не смогут работать с файлами без ведома пользователя. Напротив группы “Защищаемые типы файлов” должны быть символы вопросительного знака на фоне оранжевого круга:

Это значит, что при попытке взаимодействия программы из групп “Слабые ограничения”/”Сильные ограничения” с файлом защищаемого типа отобразится окно предупреждения:

В случае возникновения такого предупреждения, необходимо проверить, чтобы все программы, отображенные в списке последовательности запуска программ были легитимными (т.е. имели группу “Доверенные”, цифровую подпись, большое кол-во пользователей в KSN) путём нажатия на их названия. Если какая-то из них не была отнесена к категории “доверенных”, но не является вредоносной, необходимо разрешить взаимодействие с защищаемыми файлами:

 


Дата добавления: 2015-07-11; просмотров: 70 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Использование службы защиты системы на всех дисках.| УСТРОЙСТВО ТРЁХФАЗНОЙ АСИНХРОННОЙ МАШИНЫ

mybiblioteka.su - 2015-2024 год. (0.012 сек.)