Cryptolocker - prevencija

Cryptolocker - prevencija

3. kolovoza 2016. 13:09 marioc Sigurnost

 

Nažalost kada se vaše računalo zarazi Cryptolockerom tu više nema pomoći, osim platiti. Postoje verzije Cryptolocker(ako su stariji) za koje postoje alati za dekriptiranje ali je to mala šansa da uspije. Razlog tome je što su svakim danom Cryptolockeri sve sofisticiraniji i koliko kod se tvrtke, koje se bave sigurnošću, trudile jednostavno ne uspijevaju sustići tvorce Cryptolockera. Nećemo tu sad u dubinu razvoja Cryptolockera jer to nije tema.

Da bi izbjegli da vam se to dogodi jedini oblik je prevencija koju možete ostvariti na jedan od ova tri načina:

Općenito - jednostavno nemojte pokretati sumnjive programe s Interneta ili putem E-maila. Pokušajte imati na računalu što manje neažurirani programa koji su izvor sigurnosnih ranjivosti. Antivirusni programi u ovom slučaju baš i nisu korisni.

Backup – obavezno raditi backup i to na neki vanjski disk jer Cryptolocker „poždere“ sve diskove koje „vidi“ u računalu. Možete raditi Backup i na Cloud ali treba paziti da nije stalno „spojen“ jer postoje verzije Cryptolockera koje mogu i te podatke učinit nedostupnima.

SRP (Software Restriction Policies) – jednostavno blokira pokretanje programa iz određenih lokacija(Folders) na računalu. To se jednostavno konfigurira kroz Group Policy.

 

  1. Pokrenite Local Security Policy ili the Group Policy
  2. Computer Configuration - Windows Settings - Security Settings - Software Restriction Policies
  3. New Software Restriction Policy (kreirajte ako treba)
  4. Desni klik na Additional Rules i odaberite New Path Rule.
  5. Pod Path upišite sve lokacije s kojih želite zabraniti pokretanje programa, dole su naveden neke bitnije za više verzije OS-a.
  6. Pod Security level, odaberete Disallowed.
  7. Upišite nekakav opis i "OK"
  8. Za svaku lokaciju(Path) ponovite postupak od broja 4

 

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\*.exe
%UserProfile%\Start Menu\Programs\Startup\*.exe
%UserProfile%\*.exe
%UserName%\AppData\*.exe
%UserName%\AppData\Local\*.exe
%UserName%\AppData\Roaming\*.exe
%UserName%\Application Data\Roaming\*.exe
%UserName%\Application Data\Roaming\Microsoft\*.exe
%UserName%\Local Settings\Application Data\Roaming\*.exe
%temp%\*.exe 

Kod ovog treba biti samo malo pažljivi jer možete na taj način sami sebi zabraniti pokretanje(instalaciju ili update) aplikacija. Ali i to se da riješiti kroz mali „fine tuning“ pomoću whitelist policy.