22.02.2013, 23:01
Jak zwiększyć poziom zabezpieczenia w trybie automatycznym w tym także przeciwko malware typu Trojan-Ransom (tzw. WinLock) używając modułu "Kontrola Aplikacji" w Kaspersky Internet Security 2013?
Zapewne część osób posiadająca Kaspersky Internet Security doświadczyła zablokowania PC w związku z działaniem malware typu Trojan-Ransom (tzw. WinLock) - np.
Jak temu przeciwdziałać samemu zwiększając poziom zabezpieczeń w trybie automatycznym używając Kaspersky opiszę poniżej.
Ustawienia te są "kompatybilne" z wersjami 2012, 2011, 2010.
Domyślnie Kaspersky każdy uruchamiany program, który nie jest na zaufanej liście (lub nie był w KSN) i nie ma podpisu cyfrowego analizuje heurystycznie i przydziela do określonej grupy: Niski lub Wysoki poziom zabezpieczeń oraz Niezaufany.
1. Metoda "lekka"czyli dodajemy nowe tożsamości i zmieniamy reguły dla niskiego i wysokiego poziomu ograniczeń oraz uprawnienia:
1A. Wchodzimy w: Ustawienia -> Centrum Ochrony -> Kontrola aplikacji -> Ochrona tożsamości
W zakładce "Dane tożsamości" wybieramy w menu rozwijanym "Wszystkie zasoby" i niżej klikamy na "Dane tożsamości" i z menu "Dodaj kategorię" dodajemy kategorię o nazwie np. AntiWinLock
Następnie do stworzonej kategorii "AntiWinLock" dodajemy klucze rejestru, które będą kontrolowane.
Klikamy Dodaj -> Klucz rejestru -> Przeglądaj... (okno "Proszę określić obiekt rejestru")
i wpisujemy/wklejamy w poszczególne pola zatwierdzając 2x"OK":
I jak to powinno finalnie wyglądać:
1B. Wchodzimy w: Ustawienia -> Centrum Ochrony -> Kontrola aplikacji -> Aplikacje
W oknie "Aplikacje" upewniamy sie, czy jest zaznaczone "Wszystkie aplikacje"
Następnie klikamyW "Grupy i aplikacje" na "Niski poziom zabezpieczeń" i wybieramy "Modyfikuj", otworzy sie okno "Reguły dla grupy" i wybieramy zakładkę "Pliki i rejestr systemu"
Znajdujemy zasób "AntiWinLock" i dla akcji "Odczyt", "Zapis", "Usuwanie", "Utworzenie" zmieniamy z domyślnych "Pytaj o akcję" na "Blokuj"
Znajdujemy zasób "Ustawienia zabezpieczeń" i dla akcji "Odczyt", "Zapis", "Usuwanie", "Utworzenie" zmieniamy na "Blokuj"
Dodatkowo przy wszystkich akcjach "Pytaj o akcję" i "Blokuj" można zaznaczyć "Zapisuj zdarzenia". Będzie to pomocne przy analizowaniu uruchamianych programów/malware.
Będąc w oknie okno "Reguły dla grupy", wybieramy zakładkę "Uprawnienia"
Wyszukujemy zasób "Wtargnięcie do innych procesów" i zmieniamy akcje "Uprawnienia" na "Blokuj"
Dodatkowo można przy wszystkich akcjach "Pytaj o akcję" i "Blokuj" w całej kolumnie "Uprawnienia" zaznaczyć "Zapisuj zdarzenia". Będzie to pomocne przy analizowaniu uruchamianych programów/malware.
1C. Powtarzamy punkt 1B z tym, że w "Grupy i aplikacje" wybieramy "Wysoki poziom ograniczeń"
Można jeszcze zaznaczyć "Blokuj" wedle uznania, np. przy "Dostęp do miejsca przechowywania hasła", "Zakończenie działania Microsoft Windows"...
Warto najpierw zresetować program do domyślnych ustawień, zrobić te dodatkowe wpisy, zapisać sobie gdzieś konfigurację (domyślne+wpisy) [zapisać/wyeksportować do pliku, żeby w razie przywracania ustawień nie wpisywać od nowa wszystkiego
]i skonfigurować po tym resztę ustawień jeśli potrzeba.
2. Metoda bardziej restrykcyjna- każdy uruchamiany program który nie jest zaufany (nie jest na zaufanej liście), bez podpisu cyfrowego od razu jest oznaczany jako Niezaufany (nie ma uprawnień do wykonania żadnej akcji).
Metoda ta jest warta polecenia, szczególnie jeśli znamy już znane swoje uruchamiane programy, które Kaspersky sobie "powciagał" już na zaufane listy.
Kłopotliwa trochę przy dużej ilości nowych uruchamianych programów, gdyż często trzeba będzie odwiedzać moduł Kontrola aplikacji.
Od tej pory kontrolujemy uruchamiane programy metodą; jeśli przejdzie przez heurystykę, skanowanie AV "niewykryty", nie ma go w KSN jako zaufany i nie ma podpisu cyfrowego jest oznaczany jako niezaufany.
Wtedy "odwiedzamy" kontrolę aplikacji w Kaspersky i decydujemy sami; jaka lokalizacja pliku, czy znamy czy nie znamy dany program, dopuszczamy lub nie.
W przypadku, gdy w "sidła" wpadnie nasz od dawna znany program, po prostu oznaczamy go w kontroli aplikacji jako zaufany lub jako niski poziom ograniczeń.
Znany program dla użytkownika, który został oznaczony jako niezaufany - przywracanie:
Znany program dla użytkownika, który został oznaczony jako zaufany - brak akcji:
-----------------------------------------
A więc sprawdźmy metodę 1 na przykładzie (Kaspersky zainstalowany bez udziału w KSN, wyłączona ochrona plików, nieaktualizowany, własne+dodatkowe wpisy AntiWinLock)):
Metoda 1 bazuje na:
Zapewne część osób posiadająca Kaspersky Internet Security doświadczyła zablokowania PC w związku z działaniem malware typu Trojan-Ransom (tzw. WinLock) - np.
[Aby zobaczyć linki, zarejestruj się tutaj]
.Jak temu przeciwdziałać samemu zwiększając poziom zabezpieczeń w trybie automatycznym używając Kaspersky opiszę poniżej.
Ustawienia te są "kompatybilne" z wersjami 2012, 2011, 2010.
Domyślnie Kaspersky każdy uruchamiany program, który nie jest na zaufanej liście (lub nie był w KSN) i nie ma podpisu cyfrowego analizuje heurystycznie i przydziela do określonej grupy: Niski lub Wysoki poziom zabezpieczeń oraz Niezaufany.
1. Metoda "lekka"czyli dodajemy nowe tożsamości i zmieniamy reguły dla niskiego i wysokiego poziomu ograniczeń oraz uprawnienia:
1A. Wchodzimy w: Ustawienia -> Centrum Ochrony -> Kontrola aplikacji -> Ochrona tożsamości
W zakładce "Dane tożsamości" wybieramy w menu rozwijanym "Wszystkie zasoby" i niżej klikamy na "Dane tożsamości" i z menu "Dodaj kategorię" dodajemy kategorię o nazwie np. AntiWinLock
Następnie do stworzonej kategorii "AntiWinLock" dodajemy klucze rejestru, które będą kontrolowane.
Klikamy Dodaj -> Klucz rejestru -> Przeglądaj... (okno "Proszę określić obiekt rejestru")
i wpisujemy/wklejamy w poszczególne pola zatwierdzając 2x"OK":
Kod:
1:Klucz rejestru: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Wartość: Shell
2:Klucz rejestru: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Wartość: AppInit_DLLs
3:Klucz rejestru: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Wartość: Userinit
4:Klucz rejestru: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
Wartość: (Nie wpisuj tutaj nic. Domyślna wartość "*" zostanie dodana automatycznie)
5:Klucz rejestru: *\SOFTWARE\Policies
Wartość: *
Nazwa (w oknie "Zasób użytkownika"): Winlock.Policies.Values
6:Klucz rejestru: *\SOFTWARE\Policies\*
Wartość: (Nie wpisujemy nic)
Nazwa (w oknie "Zasób użytkownika"): Winlock.Policies.Keys
7:Klucz rejestru: *\SOFTWARE\Policies\*
Wartość: *
Nazwa (w oknie "Zasób użytkownika"): Winlock.Policies.Values.Sub
8:Klucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Wartość: *
Nazwa (w oknie "Zasób użytkownika"): SafeBoot.Values
9:Klucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
Wartość: (Nie wpisujemy nic)
Nazwa (w oknie "Zasób użytkownika"): SafeBoot.Keys
10: Klucz rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
Wartość: *
Nazwa (w oknie "Zasób użytkownika"): SafeBoot.Values.Sub[Aby zobaczyć linki, zarejestruj się tutaj]
I jak to powinno finalnie wyglądać:
[Aby zobaczyć linki, zarejestruj się tutaj]
1B. Wchodzimy w: Ustawienia -> Centrum Ochrony -> Kontrola aplikacji -> Aplikacje
W oknie "Aplikacje" upewniamy sie, czy jest zaznaczone "Wszystkie aplikacje"
Następnie klikamyW "Grupy i aplikacje" na "Niski poziom zabezpieczeń" i wybieramy "Modyfikuj", otworzy sie okno "Reguły dla grupy" i wybieramy zakładkę "Pliki i rejestr systemu"
Znajdujemy zasób "AntiWinLock" i dla akcji "Odczyt", "Zapis", "Usuwanie", "Utworzenie" zmieniamy z domyślnych "Pytaj o akcję" na "Blokuj"
Znajdujemy zasób "Ustawienia zabezpieczeń" i dla akcji "Odczyt", "Zapis", "Usuwanie", "Utworzenie" zmieniamy na "Blokuj"
Dodatkowo przy wszystkich akcjach "Pytaj o akcję" i "Blokuj" można zaznaczyć "Zapisuj zdarzenia". Będzie to pomocne przy analizowaniu uruchamianych programów/malware.
Będąc w oknie okno "Reguły dla grupy", wybieramy zakładkę "Uprawnienia"
Wyszukujemy zasób "Wtargnięcie do innych procesów" i zmieniamy akcje "Uprawnienia" na "Blokuj"
Dodatkowo można przy wszystkich akcjach "Pytaj o akcję" i "Blokuj" w całej kolumnie "Uprawnienia" zaznaczyć "Zapisuj zdarzenia". Będzie to pomocne przy analizowaniu uruchamianych programów/malware.
1C. Powtarzamy punkt 1B z tym, że w "Grupy i aplikacje" wybieramy "Wysoki poziom ograniczeń"
[Aby zobaczyć linki, zarejestruj się tutaj]
Można jeszcze zaznaczyć "Blokuj" wedle uznania, np. przy "Dostęp do miejsca przechowywania hasła", "Zakończenie działania Microsoft Windows"...
[Aby zobaczyć linki, zarejestruj się tutaj]
Warto najpierw zresetować program do domyślnych ustawień, zrobić te dodatkowe wpisy, zapisać sobie gdzieś konfigurację (domyślne+wpisy) [zapisać/wyeksportować do pliku, żeby w razie przywracania ustawień nie wpisywać od nowa wszystkiego
]i skonfigurować po tym resztę ustawień jeśli potrzeba. 2. Metoda bardziej restrykcyjna- każdy uruchamiany program który nie jest zaufany (nie jest na zaufanej liście), bez podpisu cyfrowego od razu jest oznaczany jako Niezaufany (nie ma uprawnień do wykonania żadnej akcji).
Metoda ta jest warta polecenia, szczególnie jeśli znamy już znane swoje uruchamiane programy, które Kaspersky sobie "powciagał" już na zaufane listy.
Kłopotliwa trochę przy dużej ilości nowych uruchamianych programów, gdyż często trzeba będzie odwiedzać moduł Kontrola aplikacji.
Od tej pory kontrolujemy uruchamiane programy metodą; jeśli przejdzie przez heurystykę, skanowanie AV "niewykryty", nie ma go w KSN jako zaufany i nie ma podpisu cyfrowego jest oznaczany jako niezaufany.
Wtedy "odwiedzamy" kontrolę aplikacji w Kaspersky i decydujemy sami; jaka lokalizacja pliku, czy znamy czy nie znamy dany program, dopuszczamy lub nie.
W przypadku, gdy w "sidła" wpadnie nasz od dawna znany program, po prostu oznaczamy go w kontroli aplikacji jako zaufany lub jako niski poziom ograniczeń.
[Aby zobaczyć linki, zarejestruj się tutaj]
Znany program dla użytkownika, który został oznaczony jako niezaufany - przywracanie:
[Aby zobaczyć linki, zarejestruj się tutaj]
Znany program dla użytkownika, który został oznaczony jako zaufany - brak akcji:
[Aby zobaczyć linki, zarejestruj się tutaj]
-----------------------------------------
A więc sprawdźmy metodę 1 na przykładzie (Kaspersky zainstalowany bez udziału w KSN, wyłączona ochrona plików, nieaktualizowany, własne+dodatkowe wpisy AntiWinLock)):
[Aby zobaczyć linki, zarejestruj się tutaj]
Metoda 1 bazuje na:
[Aby zobaczyć linki, zarejestruj się tutaj]
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock