Prevence proti ransomware "Locky" bez potreby Antiviru
[h2]Docasna zakladni prevence proti Locky postup [/h2]
Dobry den
• Snad kazdy zna obtezujici Malwarare (Ransomware) "Locky" ktery muze v PC nasekat paseku, v horsich pripadech na provoznich nebo kancelarskych PC i vetsi nebezpeci a skodu.
• Postup je pro prozatimni verzi Locky a az se rusacek spatne rano vstane a vse muze fungovat jinak.
Rikate Locky ? Neznam :
Vice o RansmWare Locky (zdroj Wikipédia) : https://en.wikipedia.org/wiki/Locky
[V CEM OCHRANA SPOCIVA ?]
• Nejde ani tak o ochranu, ale spise o krok jak se infekci, nakaze pokusit vyhnout.
Jelikoz Locky v prvni kroku infekce (bez ohledu na puvod infekce at z mailu nebo od jinud), se snazi vytvorit registracni klic HKCU\Software\Locky , tak ho vytvorime pred nim a trochu mu to zneprijemnime !
1) Spuste 'prikazovy radek' pomoci klaves "WIN + R" a spustime bazy registru pomoci prikazu regedit
2) Dostante se na uroven vetve :
HKEY_CURRENT_USER\Software\
3) Nasledovne vytvorime novy registracni Klic|KEY a pojmenujeme ho Locky :
4) V nasledujicim bodu, u slozky "Locky" klikneme na nastaveni : "Prava|Autorizace" :
5) A odepreme ji veskeré prava, zde jste asi pochopili, jak to celé funguje
* Locky uz se pri pokusu instalace ke slozce Locky nedostane, jelikoz jsme mu predem odebraly veskeré prava .
• Samozrejme, vse musime brat s rezervou, zakladni je prevence i kdyz neni 100%.
[DODATEK]
• Pro nekteré mozna komplikovanejsi, ale jde se chranit i pomoci GPO
1) Stahnou SatACL : https://helgeklein.com/download/#
2) Prejmenujtesetacl.exe v (64Bit adresari) na setacl_64.exe(v 32Bit adresari), tak jako prejmenovanisetacl.exe nasetacl_32.exe
3) Okopirujte a vlozte soubory "setacl_32.exe a setacl_64.exe" do slozky "Netlogon " ke kteremu vytvorime pridame nas vytvoreny '.bat' skript :
@echo off REG ADD HKCU\Software\Locky IF %PROCESSOR_ARCHITECTURE%==AMD64 Goto 64Bits Else Goto 32Bits :32Bits \\SRV-DC01\NETLOGON\Scripts\SetACL_32.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn setowner -ownr n:Administrateurs \\SRV-DC01\NETLOGON\Scripts\SetACL_32.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn ace -ace "n:Administrateurs;m:deny;p:full" :64Bits \\SRV-DC01\NETLOGON\Scripts\SetACL_64.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn setowner -ownr n:Administrateurs \\SRV-DC01\NETLOGON\Scripts\SetACL_64.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn ace -ace "n:Administrateurs;m:deny;p:full" Goto :Fin :Fin
• Voila I pres jednoduchost se ted vakcinace provede automaticky. Doufam ze to snad bude nekomu uzitené
* Jestli se GPU nebude chtit aplikovat, pouzijte : gpupdate /force
Prijde mi to znacne jety, prevence tim, ze pridam klice do registru ke kterym odeberu opravneni. Asi to je ucinny, jinak bys to nepsal, ale idealne bych videl si Locky (jakejkoli vir) do PC vubec netahat. Pro domaci uzivatele by to nemel byt problem, u firemnich na LAN to muze byt trochu problem, zalezi na firemnim ajtakovi, jak se s tim vyporada.
Bravo !!
Me zas prijdou značne jeté tvé pripominky, jednou v IT pohopis jak nekteré veci funguji, tak se na to snad budes divat jinak, kde prevence je zaklad 100x efektivnejsí jak nekaky AV, i kdyz v tvych ocich jsou nektere kroky "znacne jeté
Nepotrebujes AV, respektive malokdy se ve firemnim sektoru setkas se situaci, ze by na pocitacich nebyl AV respektive nejake Security reseni, ale dejme tomu.
Doma mam standardne zapnuty Windows Defender popripade Security Essentials (Win7), to si myslim, ze je takovy dobry kompromis. Hlavne ale jednoduse neotviram podezrele nezname prilohy v emailu a jinak Locky nechytis.
Ja ale nekritizuju tvuj prispevek, jen podotykam, ze nenatahnout si Locky vubec do PC je jeste lepsi.
Staci se podivat na vypis nekterych antiMalware jen zde na poradne, kolik je zde infikovanych tazatelu, i kdyz jde prevazne o deti co si infikuji PC samy at z cracku nebo jinych ilegalnich instalaci, ale nekdy staci jen blbe kliknout na mail, nebo slecna v kancelari na prilohu kalendare nahych hasicu a mas ho doma a to se muze stat kazdemu.
ačkoli na to jde ms rozumně = jeho antimalware se soustředí na viry/spyware co jsou aktálně v oblibě, proti ransomware bude většinou neúčinný.
zdrojáky některých ransomware byly publikovány a vidina peněz láká velmi mnoho kinderhaxorů k vlastním modifikacím -> selhává detekce.
rezidentně jako služba běží defender tuším od win8, čili nás pár procent s w7 (a xp) se to netýká. odpírači aktualizací jsou mimo u všech verzí win.
s množstvím variant se taky liší i šíření, např. uložto: infikovaný sw nemusí neobsahovat vir (av nereaguje), ale teprve jeho downloader.
neustále modifikované ochrany maker v office jsou spíš nekompatibilní, uživatelé je radši vypínají - právě tudy se ransomware začal masově šířit. a ukaž mi jediného důchodce či žáka školy s výukou it, který nerozklikne powerpointovou přílohu, toto je pro změnu m$ "zásluha" na rozšíření.
samozřejmě nechat si napadnout pc a přes nekontrolovanou flashku si roznést vir po svých dalších pc, to už chce mimořádnou tupost, známe i z poradny.
říkám si taky, ale firemní uživatelé si tahají notebuky dom a jsou úplně tupí...
k článku:
dodatek gpo - ta formulace 32-/64-bit je trochu zmatená, ale z batky je to vidět.
kdo nemá francouzské windows, nemusí je kupovat, použije název skupiny "Administrators".
"\\SRV-DC01" si samozřejmě zájemce přizpůsobí.
• Dekuji za pripominku, ano Administrators na misto Administrateurs (sila zvyku).
* Jinak i ENG verze Win mi bere Administrateurs jak "ors"kde samotnému skriptu nejak jedno jestli je spusten na Windows CZ, FR, nebo IT ci ENG, Administrator zustava ale samozrejme korektnejsi, srozumitelnejsi..
PS : Nic neni pravidlem a jde pouzit i PowerShell script a udelat to same co ja vim, treba pres nastaveni prav objektu function Set-Owner/item/object, myslim ze kazdy si to dokaze uz doladit nebo zprostredkovat zcela dle sebe, myslim ze podstatu jsi pochopil, mas-li nejakou vlastni upravu, tak se klidne rozdel tim lip.
Jo uz to vidim, je to trochuneprehledné ano, jestli nekdo nechape, ma zajem, nebo chce upresneni co prejmenovat v jaké slozce a na co, samozrejme rad odpovim.
REDMARX
•
O to presne jde a dobre delas.
Zajímavé a jako prevence asi vhodné, ovšem zdá se mi to až příliš "jednoduché", zda je to účinné a odzkoušené nevím.
(jen bych ještě asi doplnil pro které OS Win?)
Tak "prilis jednoduché", ze by jsi na to dosel sám?
Ne vse musi byt slozité. (Ono, vse je o neco jednodusi pred nakazou jak po ní)
• Predstav si to jako diskoteku (co ja vim), u dveri stoji kontroler (viz skript) ktery kontroluje OP a az prijde rada na Michala Locky tak ho dovntitr nepusti, protoze ke vstupu nema opravneni (viz predem odmitnute prava manipulace klice), smutny Michal tak nemuze vejit, opit se a udelat zase paseku, proc to delat sloziteji?
• Jelikoz Locky se pokousi v prvnim kroku vytvorit registracni klic Locky ve vyse uvedenem adresari, az na XP kde jsi nejsem jisty (nezkousel jsem), by mel mit stejnou cestu jak u Windows 7 nebo 10.
"diskoška"
Ale já vím co chce básník říci.
"příliš jednoduché"
Míněno, že by s něčím takovým "škodiči"nepočítali.
Jasny no to jo, proto pisu pro aktualni verzi, samozrejme v pristi verzi Locky se slozka muze jmenovat jinak nebo zmeni cestu (cesta klice jak jeho nazev muze byt i nahodne vygenorovan) a vyse uvedeny postup je zcela k nicemu.
* Skodici hlavne pocitaji s naivnosti uzivatelu co klikaji co jim pod ruky prijde, tento bod by se mel resit nejvic, k tem co si tahaji bordel do PC umyslne v podobne Werez, koncici bud placem, novym vlaknem na poradne nebo formatem celého HDD, k tem se snad nema cenu ani vyjadrovat a pomuze jim jen odpojeni od WAN, od internetu
Locky samotny uz obsahuje prilis vela mutacii a pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov. Co si pamatam ja sifrovacie virusy tak prave tie s oblubou tvorili v registroch zapis s nahodne generovanych znakov...takisto si vytvarali rovnake adresare, takze ich nebolo mozno zdetegovat podla nejakeho urcujuceho nazvu. Toto bolo mozne mozno 4-5 rokov dozadu, ked autori este taketo veci moc neriesili.
Nehovoriac o tom, ze akonahle sa nejaka ochrana rozsiri na nete pride nova mutacia, co ju obchadza.
Prve verzie napriklad nesifrovai sietove disky pripojene, takze zalohy nebyvali dotknute. Neskor pomerne dlho fungovala ochrana s tienovymi kopiami az kym neprisli verzie, ktore prepisovali aj tieto...atd.
• Postup jsem zkousel na Locky ktery momentalne koluje mail schranky (v mém pripade v podobe zaplaceni faktury Suject "ATTN: Invoice J-689XXX" a souboru _J-689XXX.doc) a zakazani pristupu ke klici fungoval, jinak samozrejme mas pravdu, jak pisu vyse i MPol, v pristi verzi muze a zrejme i bude vse jinak.
* Ovsem na zkousku, nebo i na hratky umyslnou infekci bych doporucil vyhradne pres VM, ne na osobnim PC.
• Rozumim ze pochybujes, ale on si v korenovém klici LOCKY vytvari dalsi potrebné, jako "ID, PubKey, PayText" bez kterych nebude fungovat, jako :
• Az nasledovne dojde k zapisu a Locky vymaze interni zalohu ("shadow copies") které Windows vytvoril (pres VSS/Volume Snapshot Service) aby nemohla byt pouzita zaloha k obnoveni OS :
Nic za to nedám, když ten klíč vytvořím, zavazet to tam nebude, chleba to taky nežere, tak jsem to tam vytvořil. Třeba to bude užitečný.