Přidat aktualitu mezi oblíbenéZasílat nové komentáře e-mailem Prevence proti ransomware "Locky" bez potreby Antiviru

[h2]Docasna zakladni prevence proti Locky postup [/h2]

Dobry den

• Snad kazdy zna obtezujici Malwarare (Ransomware) "Locky" ktery muze v PC nasekat paseku, v horsich pripadech na provoznich nebo kancelarskych PC i vetsi nebezpeci a skodu.
• Postup je pro prozatimni verzi Locky a az se rusacek spatne rano vstane a vse muze fungovat jinak.

Rikate Locky ? Neznam :
Vice o RansmWare Locky (zdroj Wikipédia) : https://en.wikipedia.org/wiki/Locky

[V CEM OCHRANA SPOCIVA ?]

• Nejde ani tak o ochranu, ale spise o krok jak se infekci, nakaze pokusit vyhnout.
Jelikoz Locky v prvni kroku infekce (bez ohledu na puvod infekce at z mailu nebo od jinud), se snazi vytvorit registracni klic HKCU\Software\Locky , tak ho vytvorime pred nim a trochu mu to zneprijemnime ! :-)

1) Spuste 'prikazovy radek' pomoci klaves "WIN + R" a spustime bazy registru pomoci prikazu regedit
2) Dostante se na uroven vetve :

HKEY_CURRENT_USER\Software\

3) Nasledovne vytvorime novy registracni Klic|KEY a pojmenujeme ho Locky :

[80794-pcp1-png]

4) V nasledujicim bodu, u slozky "Locky" klikneme na nastaveni : "Prava|Autorizace" :

[80795-pcp2-png]
5) A odepreme ji veskeré prava, zde jste asi pochopili, jak to celé funguje :-)
* :i: Locky uz se pri pokusu instalace ke slozce Locky nedostane, jelikoz jsme mu predem odebraly veskeré prava .
[80796-pcp3-png]

• Samozrejme, vse musime brat s rezervou, zakladni je prevence i kdyz neni 100%.

[DODATEK]
• Pro nekteré mozna komplikovanejsi, ale jde se chranit i pomoci GPO
1) Stahnou SatACL : https://helgeklein.com/download/#
2) Prejmenujtesetacl.exe v (64Bit adresari) na setacl_64.exe(v 32Bit adresari), tak jako prejmenovanisetacl.exe nasetacl_32.exe
[80797-ccd-png]
3) Okopirujte a vlozte soubory "setacl_32.exe a setacl_64.exe" do slozky "Netlogon " ke kteremu vytvorime pridame nas vytvoreny '.bat' skript :


@echo off
REG ADD HKCU\Software\Locky
IF %PROCESSOR_ARCHITECTURE%==AMD64 Goto 64Bits Else Goto 32Bits
:32Bits
\\SRV-DC01\NETLOGON\Scripts\SetACL_32.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn setowner -ownr n:Administrateurs
\\SRV-DC01\NETLOGON\Scripts\SetACL_32.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn ace -ace "n:Administrateurs;m:deny;p:full"
:64Bits
\\SRV-DC01\NETLOGON\Scripts\SetACL_64.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn setowner -ownr n:Administrateurs
\\SRV-DC01\NETLOGON\Scripts\SetACL_64.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn ace -ace "n:Administrateurs;m:deny;p:full"
Goto :Fin
:Fin

• Voila :-) I pres jednoduchost se ted vakcinace provede automaticky. Doufam ze to snad bude nekomu uzitené ;-)
* :i: Jestli se GPU nebude chtit aplikovat, pouzijte : gpupdate /force

Předmět Autor Datum
Prijde mi to znacne jety, prevence tim, ze pridam klice do registru ke kterym odeberu opravneni. Asi…
RedMaX 31.12.2017 07:57
RedMaX
ale idealne bych videl si Locky (jakejkoli vir) do PC vubec netahat Bravo !! Me zas prijdou znač…
XoXoChanel 31.12.2017 10:00
XoXoChanel
Nepotrebujes AV, respektive malokdy se ve firemnim sektoru setkas se situaci, ze by na pocitacich ne…
RedMaX 31.12.2017 10:40
RedMaX
Staci se podivat na vypis nekterych antiMalware jen zde na poradne, kolik je zde infikovanych tazate…
XoXoChanel 31.12.2017 10:42
XoXoChanel
ačkoli na to jde ms rozumně = jeho antimalware se soustředí na viry/spyware co jsou aktálně v oblibě…
ledníbrtník 31.12.2017 11:56
ledníbrtník
• Dekuji za pripominku, ano Administrators na misto Administrateurs (sila zvyku). * Jinak i ENG verz…
XoXoChanel 31.12.2017 12:40
XoXoChanel
Zajímavé a jako prevence asi vhodné, ovšem zdá se mi to až příliš "jednoduché", zda je to účinné a o…
M-Pol 31.12.2017 11:15
M-Pol
Tak "prilis jednoduché", ze by jsi na to dosel sám? Ne vse musi byt slozité. (Ono, vse je o neco jed…
XoXoChanel 31.12.2017 11:30
XoXoChanel
"diskoška" Ale já vím co chce básník říci. "příliš jednoduché" Míněno, že by s něčím takovým "škodič…
M-Pol 31.12.2017 13:24
M-Pol
Jasny no to jo, proto pisu pro aktualni verzi, samozrejme v pristi verzi Locky se slozka muze jmenov…
XoXoChanel 31.12.2017 13:26
XoXoChanel
Locky samotny uz obsahuje prilis vela mutacii a pochybujem, zeby vsetky obsahovali trivialnu chybu a…
fleg 31.12.2017 13:34
fleg
pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov. • Postup js…
XoXoChanel 31.12.2017 13:38
XoXoChanel
Nic za to nedám, když ten klíč vytvořím, zavazet to tam nebude, chleba to taky nežere, tak jsem to t… poslední
Prasak 31.12.2017 21:14
Prasak

Prijde mi to znacne jety, prevence tim, ze pridam klice do registru ke kterym odeberu opravneni. Asi to je ucinny, jinak bys to nepsal, ale idealne bych videl si Locky (jakejkoli vir) do PC vubec netahat. Pro domaci uzivatele by to nemel byt problem, u firemnich na LAN to muze byt trochu problem, zalezi na firemnim ajtakovi, jak se s tim vyporada.

ale idealne bych videl si Locky (jakejkoli vir) do PC vubec netahat

Bravo !!

Me zas prijdou značne jeté tvé pripominky, jednou v IT pohopis jak nekteré veci funguji, tak se na to snad budes divat jinak, kde prevence je zaklad 100x efektivnejsí jak nekaky AV, i kdyz v tvych ocich jsou nektere kroky "znacne jeté ;-)

Nepotrebujes AV, respektive malokdy se ve firemnim sektoru setkas se situaci, ze by na pocitacich nebyl AV respektive nejake Security reseni, ale dejme tomu.

Doma mam standardne zapnuty Windows Defender popripade Security Essentials (Win7), to si myslim, ze je takovy dobry kompromis. Hlavne ale jednoduse neotviram podezrele nezname prilohy v emailu a jinak Locky nechytis.

Ja ale nekritizuju tvuj prispevek, jen podotykam, ze nenatahnout si Locky vubec do PC je jeste lepsi.

Staci se podivat na vypis nekterych antiMalware jen zde na poradne, kolik je zde infikovanych tazatelu, i kdyz jde prevazne o deti co si infikuji PC samy at z cracku nebo jinych ilegalnich instalaci, ale nekdy staci jen blbe kliknout na mail, nebo slecna v kancelari na prilohu kalendare nahych hasicu a mas ho doma a to se muze stat kazdemu.

ačkoli na to jde ms rozumně = jeho antimalware se soustředí na viry/spyware co jsou aktálně v oblibě, proti ransomware bude většinou neúčinný.

zdrojáky některých ransomware byly publikovány a vidina peněz láká velmi mnoho kinderhaxorů k vlastním modifikacím -> selhává detekce.
rezidentně jako služba běží defender tuším od win8, čili nás pár procent s w7 (a xp) se to netýká. odpírači aktualizací jsou mimo u všech verzí win.
s množstvím variant se taky liší i šíření, např. uložto: infikovaný sw nemusí neobsahovat vir (av nereaguje), ale teprve jeho downloader.
neustále modifikované ochrany maker v office jsou spíš nekompatibilní, uživatelé je radši vypínají - právě tudy se ransomware začal masově šířit. a ukaž mi jediného důchodce či žáka školy s výukou it, který nerozklikne powerpointovou přílohu, toto je pro změnu m$ "zásluha" na rozšíření.
samozřejmě nechat si napadnout pc a přes nekontrolovanou flashku si roznést vir po svých dalších pc, to už chce mimořádnou tupost, známe i z poradny.

nenatahnout si Locky vubec do PC je jeste lepsi.

říkám si taky, ale firemní uživatelé si tahají notebuky dom a jsou úplně tupí...

k článku:
dodatek gpo - ta formulace 32-/64-bit je trochu zmatená, ale z batky je to vidět.
kdo nemá francouzské windows, nemusí je kupovat, použije název skupiny "Administrators".
"\\SRV-DC01" si samozřejmě zájemce přizpůsobí.

• Dekuji za pripominku, ano Administrators na misto Administrateurs (sila zvyku).
* Jinak i ENG verze Win mi bere Administrateurs jak "ors"kde samotnému skriptu nejak jedno jestli je spusten na Windows CZ, FR, nebo IT ci ENG, Administrator zustava ale samozrejme korektnejsi, srozumitelnejsi..

PS : Nic neni pravidlem a jde pouzit i PowerShell script a udelat to same co ja vim, treba pres nastaveni prav objektu function Set-Owner/item/object, myslim ze kazdy si to dokaze uz doladit nebo zprostredkovat zcela dle sebe, myslim ze podstatu jsi pochopil, mas-li nejakou vlastni upravu, tak se klidne rozdel tim lip.
Jo uz to vidim, je to trochuneprehledné ano, jestli nekdo nechape, ma zajem, nebo chce upresneni co prejmenovat v jaké slozce a na co, samozrejme rad odpovim.

REDMARX

Hlavne ale jednoduse neotviram podezrele nezname prilohy v emailu

O to presne jde a dobre delas.

Tak "prilis jednoduché", ze by jsi na to dosel sám?
Ne vse musi byt slozité. (Ono, vse je o neco jednodusi pred nakazou jak po ní)

• Predstav si to jako diskoteku (co ja vim), u dveri stoji kontroler (viz skript) ktery kontroluje OP a az prijde rada na Michala Locky tak ho dovntitr nepusti, protoze ke vstupu nema opravneni (viz predem odmitnute prava manipulace klice), smutny Michal tak nemuze vejit, opit se a udelat zase paseku, proc to delat sloziteji?

• Jelikoz Locky se pokousi v prvnim kroku vytvorit registracni klic Locky ve vyse uvedenem adresari, az na XP kde jsi nejsem jisty (nezkousel jsem), by mel mit stejnou cestu jak u Windows 7 nebo 10.

Jasny no to jo, proto pisu pro aktualni verzi, samozrejme v pristi verzi Locky se slozka muze jmenovat jinak nebo zmeni cestu (cesta klice jak jeho nazev muze byt i nahodne vygenorovan) a vyse uvedeny postup je zcela k nicemu.
* Skodici hlavne pocitaji s naivnosti uzivatelu co klikaji co jim pod ruky prijde, tento bod by se mel resit nejvic, k tem co si tahaji bordel do PC umyslne v podobne Werez, koncici bud placem, novym vlaknem na poradne nebo formatem celého HDD, k tem se snad nema cenu ani vyjadrovat a pomuze jim jen odpojeni od WAN, od internetu :-)

Locky samotny uz obsahuje prilis vela mutacii a pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov. Co si pamatam ja sifrovacie virusy tak prave tie s oblubou tvorili v registroch zapis s nahodne generovanych znakov...takisto si vytvarali rovnake adresare, takze ich nebolo mozno zdetegovat podla nejakeho urcujuceho nazvu. Toto bolo mozne mozno 4-5 rokov dozadu, ked autori este taketo veci moc neriesili.
Nehovoriac o tom, ze akonahle sa nejaka ochrana rozsiri na nete pride nova mutacia, co ju obchadza.
Prve verzie napriklad nesifrovai sietove disky pripojene, takze zalohy nebyvali dotknute. Neskor pomerne dlho fungovala ochrana s tienovymi kopiami az kym neprisli verzie, ktore prepisovali aj tieto...atd.

pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov.

• Postup jsem zkousel na Locky ktery momentalne koluje mail schranky (v mém pripade v podobe zaplaceni faktury Suject "ATTN: Invoice J-689XXX" a souboru _J-689XXX.doc) a zakazani pristupu ke klici fungoval, jinak samozrejme mas pravdu, jak pisu vyse i MPol, v pristi verzi muze a zrejme i bude vse jinak.
* Ovsem na zkousku, nebo i na hratky umyslnou infekci bych doporucil vyhradne pres VM, ne na osobnim PC.

a pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov.

• Rozumim ze pochybujes, ale on si v korenovém klici LOCKY vytvari dalsi potrebné, jako "ID, PubKey, PayText" bez kterych nebude fungovat, jako :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext

• Az nasledovne dojde k zapisu a Locky vymaze interni zalohu ("shadow copies") které Windows vytvoril (pres VSS/Volume Snapshot Service) aby nemohla byt pouzita zaloha k obnoveni OS :

C:\Users\(uzivatel)\AppData\Local\Temp\ladybi.exe
C:\Users\(uzivatel)\Documents\_Locky_recover_instructions.txt
etc

Zpět na aktuality Přidat komentář k aktualitě Nahoru