Prevence proti ransomware "Locky" bez potreby Antiviru
[h2]Docasna zakladni prevence proti Locky postup [/h2]
Dobry den
• Snad kazdy zna obtezujici Malwarare (Ransomware) "Locky" ktery muze v PC nasekat paseku, v horsich pripadech na provoznich nebo kancelarskych PC i vetsi nebezpeci a skodu.
• Postup je pro prozatimni verzi Locky a az se rusacek spatne rano vstane a vse muze fungovat jinak.
Rikate Locky ? Neznam :
Vice o RansmWare Locky (zdroj Wikipédia) : https://en.wikipedia.org/wiki/Locky
[V CEM OCHRANA SPOCIVA ?]
• Nejde ani tak o ochranu, ale spise o krok jak se infekci, nakaze pokusit vyhnout.
Jelikoz Locky v prvni kroku infekce (bez ohledu na puvod infekce at z mailu nebo od jinud), se snazi vytvorit registracni klic HKCU\Software\Locky , tak ho vytvorime pred nim a trochu mu to zneprijemnime ! 
1) Spuste 'prikazovy radek' pomoci klaves "WIN + R" a spustime bazy registru pomoci prikazu regedit
2) Dostante se na uroven vetve :
HKEY_CURRENT_USER\Software\
3) Nasledovne vytvorime novy registracni Klic|KEY a pojmenujeme ho Locky :
4) V nasledujicim bodu, u slozky "Locky" klikneme na nastaveni : "Prava|Autorizace" :
5) A odepreme ji veskeré prava, zde jste asi pochopili, jak to celé funguje
* 
Locky uz se pri pokusu instalace ke slozce Locky nedostane, jelikoz jsme mu predem odebraly veskeré prava .
• Samozrejme, vse musime brat s rezervou, zakladni je prevence i kdyz neni 100%.
[DODATEK]
• Pro nekteré mozna komplikovanejsi, ale jde se chranit i pomoci GPO
1) Stahnou SatACL : https://helgeklein.com/download/#
2) Prejmenujtesetacl.exe v (64Bit adresari) na setacl_64.exe(v 32Bit adresari), tak jako prejmenovanisetacl.exe nasetacl_32.exe
3) Okopirujte a vlozte soubory "setacl_32.exe a setacl_64.exe" do slozky "Netlogon " ke kteremu vytvorime pridame nas vytvoreny '.bat' skript :
@echo off REG ADD HKCU\Software\Locky IF %PROCESSOR_ARCHITECTURE%==AMD64 Goto 64Bits Else Goto 32Bits :32Bits \\SRV-DC01\NETLOGON\Scripts\SetACL_32.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn setowner -ownr n:Administrateurs \\SRV-DC01\NETLOGON\Scripts\SetACL_32.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn ace -ace "n:Administrateurs;m:deny;p:full" :64Bits \\SRV-DC01\NETLOGON\Scripts\SetACL_64.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn setowner -ownr n:Administrateurs \\SRV-DC01\NETLOGON\Scripts\SetACL_64.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn ace -ace "n:Administrateurs;m:deny;p:full" Goto :Fin :Fin
• Voila I pres jednoduchost se ted vakcinace provede automaticky. Doufam ze to snad bude nekomu uzitené 
* Jestli se GPU nebude chtit aplikovat, pouzijte : gpupdate /force
Zajímavé a jako prevence asi vhodné, ovšem zdá se mi to až příliš "jednoduché", zda je to účinné a odzkoušené nevím.
(jen bych ještě asi doplnil pro které OS Win?)
Tak "prilis jednoduché", ze by jsi na to dosel sám?
Ne vse musi byt slozité. (Ono, vse je o neco jednodusi pred nakazou jak po ní)
• Predstav si to jako diskoteku (co ja vim), u dveri stoji kontroler (viz skript) ktery kontroluje OP a az prijde rada na Michala Locky tak ho dovntitr nepusti, protoze ke vstupu nema opravneni (viz predem odmitnute prava manipulace klice), smutny Michal tak nemuze vejit, opit se a udelat zase paseku, proc to delat sloziteji?
• Jelikoz Locky se pokousi v prvnim kroku vytvorit registracni klic Locky ve vyse uvedenem adresari, az na XP kde jsi nejsem jisty (nezkousel jsem), by mel mit stejnou cestu jak u Windows 7 nebo 10.
"diskoška"
Ale já vím co chce básník říci.
"příliš jednoduché"
Míněno, že by s něčím takovým "škodiči"nepočítali.
Jasny no to jo, proto pisu pro aktualni verzi, samozrejme v pristi verzi Locky se slozka muze jmenovat jinak nebo zmeni cestu (cesta klice jak jeho nazev muze byt i nahodne vygenorovan) a vyse uvedeny postup je zcela k nicemu.
* Skodici hlavne pocitaji s naivnosti uzivatelu co klikaji co jim pod ruky prijde, tento bod by se mel resit nejvic, k tem co si tahaji bordel do PC umyslne v podobne Werez, koncici bud placem, novym vlaknem na poradne nebo formatem celého HDD, k tem se snad nema cenu ani vyjadrovat a pomuze jim jen odpojeni od WAN, od internetu
Locky samotny uz obsahuje prilis vela mutacii a pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov. Co si pamatam ja sifrovacie virusy tak prave tie s oblubou tvorili v registroch zapis s nahodne generovanych znakov...takisto si vytvarali rovnake adresare, takze ich nebolo mozno zdetegovat podla nejakeho urcujuceho nazvu. Toto bolo mozne mozno 4-5 rokov dozadu, ked autori este taketo veci moc neriesili.
Nehovoriac o tom, ze akonahle sa nejaka ochrana rozsiri na nete pride nova mutacia, co ju obchadza.
Prve verzie napriklad nesifrovai sietove disky pripojene, takze zalohy nebyvali dotknute. Neskor pomerne dlho fungovala ochrana s tienovymi kopiami az kym neprisli verzie, ktore prepisovali aj tieto...atd.
• Postup jsem zkousel na Locky ktery momentalne koluje mail schranky (v mém pripade v podobe zaplaceni faktury Suject "ATTN: Invoice J-689XXX" a souboru _J-689XXX.doc) a zakazani pristupu ke klici fungoval, jinak samozrejme mas pravdu, jak pisu vyse i MPol, v pristi verzi muze a zrejme i bude vse jinak.
* Ovsem na zkousku, nebo i na hratky umyslnou infekci bych doporucil vyhradne pres VM, ne na osobnim PC.
• Rozumim ze pochybujes, ale on si v korenovém klici LOCKY vytvari dalsi potrebné, jako "ID, PubKey, PayText" bez kterych nebude fungovat, jako :
• Az nasledovne dojde k zapisu a Locky vymaze interni zalohu ("shadow copies") které Windows vytvoril (pres VSS/Volume Snapshot Service) aby nemohla byt pouzita zaloha k obnoveni OS :
Nic za to nedám, když ten klíč vytvořím, zavazet to tam nebude, chleba to taky nežere, tak jsem to tam vytvořil. Třeba to bude užitečný.