Witam.
Poniżej podaję sposób na zabezpieczenie systemu przed popularnymi coraz bardziej szyfratorami (cerber, cryptolocker itp), które szyfrują nasze cenne dane.
Są dwa sposoby:
1.
Zainstalować program WinAntiRansom Explorer
Program blokuje nieautoryzowane próby uruchomienia się plików wykonywalnych. Co to oznacza? Każdy program spoza białej listy w programie (ma domyślnie własną taką listę) nie zostanie uruchomiony jeśli mu na to nie pozwolimy. Przy próbie uruchomienia się wyskakuje pytanie czy zezwolić na uruchomienie, zezwalając automatycznie ten program jest dodawany do białej listy. Co to daje? Wirus szyfrujący umieszcza w naszym sysetmie właśnie taki plik wykonywalny (najczęściej plik .exe, .bat, .jf itp) i przy próbie uruchomienia wyskoczy inforamcaj z zapytaniem - jeśłi mu na to nie zezwolimy nie rozpocznie się szyfrowanie. Pzy okazji mamy podaną nazę (najczęściej są to nazwy dziwne ciąg cyfr wymiesznay z literami np. 74efa661fd34.exe lub invoice_scan_XuuVC7.docx.js) i miejsce z którego chce się uruchmić i możemy go usunąć. Program jest płatny.
2. (dla bardziej zaawansowanych użytkowników komputera)
Można wprowadzić odpowiednie zmiany do rejestru. Utowrzyć tzw. białą listę programów czyli programów które mogą być uruchamiane. Jest to na początku żmudna praca bo do rejestru trzeba dodać pliki exe danych programów. Można sobie utworzyć plik .reg i jednoklikem wprowadzić zmiany w rejestrze.
WAŻNE!!!
Na takiej liście koniecznie musi się znaleźć regedit.exe abyśmy mogli w razie czego dodać lub usunąć wpis
Jak to zrobić?
Poniżej podaję przykładowy plik .reg - wystarczy wyedytować nazwy plików .exe w cudzysłowiach i zapisać zmiany, a następnie zaimportować plik do rejestru.
Poniższe wklejamy do notatanika i zapisujemy jako "restriction.reg" - razem z cudzysłowiem:
Kod:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"RestrictRun"="1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"000"="cistray.exe"
"001"="NetSendGUI.exe"
"002"="AcroRd32.exe"
"003"="Howard.exe"
"004"="touchcursor.exe"
"005"="msimn.exe"
"006"="WINWORD.exe"
"007"="EXCEL.exe"
"008"="CDNXL.exe"
"009"="SanelApplications.exe"
"010"="regedit.exe"
"011"="cmd.exe"
"012"="SanelApplications.exe"
Oczywiście możemy dodawać dowolną ilość.
Jak sprawdzić plik exe uruchamiający dany program?
Wystarczy kliknąć prawym myszy na ikonę np. programu "Mozilla Firefox" i wybrać opcję "Właściwości" - w oknie jest pozycja "Element docelowy" i w przypadku tego programu wygląda tak -> "C:\Program Files\Mozilla Firefox\firefox.exe"
Jak widać w tym przypadku plik uruchamiający to "firefox.exe"
Nie zawsze plik wykonywalny nazywa się tak samo jak program.
Np. Outlook Express (w XP) - wygląda to tak:
"C:\Program Files\Outlook Express\msimn.exe"
Jak widać, aby dodać go do odblokowanych (to bialej listy) należy do rejestru dodać "msimn.exe"
Co daje taka biała lista w rejestrze, jak to zabezpiecza?
Ano tak, że każdy program spoza tej listy jest blokowany, każdy plik wykonywalny (.exe, .bat itp) nie umieszczony na liście przy próbie uruchomienia zostanie zablokowany.
System działa stabilnie, lista ta nie blokuje procesów systemowych i jego usług.
UWAGA!!!
Przed wykonaniem powyższego należy wykonać kopię rejestru.
Testowałem to na trzech plikach:
* invoice_scan_XuuVC7.docx.js
* rechnung_86442562327646.exe
* 74efa661fd34.exe
(to są właśnie nazwy wirusa szyfrującego, nie ma potrzeby ich zapisywać/zapamiętywać bo te nazwy są nadawane losowo, nie powtarzają się)
Wypakowałem - nic nie zostalo zaszyfrowane.
Uruchomiłem ręcznie pliki - zostaly zablokowane.
Jeśli uznamy, że biała lista jest dla nas zbyt uciążliwa wystarczy usunąć wpisy z rejestru.
UWAGA!!!
Usuwamy w kolejności jak podaję:
1.
Z lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer usuwamy wartość DWORD o nazwie RestrictRun
2.
Z lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer usuwamy klucz o nazwie RestrictRun
3.
Zamykamy edytor rejestru i uruchamiamy ponownie komputer.
Wszelkie blokady zostaly wyłaczone.