Prevence proti ransomware "Locky" bez potreby Antiviru

[h2]Docasna zakladni prevence proti Locky postup [/h2]

Dobry den

• Snad kazdy zna obtezujici Malwarare (Ransomware) "Locky" ktery muze v PC nasekat paseku, v horsich pripadech na provoznich nebo kancelarskych PC i vetsi nebezpeci a skodu.
• Postup je pro prozatimni verzi Locky a az se rusacek spatne rano vstane a vse muze fungovat jinak.

Rikate Locky ? Neznam :
Vice o RansmWare Locky (zdroj Wikipédia) : https://en.wikipedia.org/wiki/Locky

[V CEM OCHRANA SPOCIVA ?]

• Nejde ani tak o ochranu, ale spise o krok jak se infekci, nakaze pokusit vyhnout.
Jelikoz Locky v prvni kroku infekce (bez ohledu na puvod infekce at z mailu nebo od jinud), se snazi vytvorit registracni klic HKCU\Software\Locky , tak ho vytvorime pred nim a trochu mu to zneprijemnime !

1) Spuste 'prikazovy radek' pomoci klaves "WIN + R" a spustime bazy registru pomoci prikazu regedit
2) Dostante se na uroven vetve :

HKEY_CURRENT_USER\Software\

3) Nasledovne vytvorime novy registracni Klic|KEY a pojmenujeme ho Locky :

[80794-pcp1-png]

4) V nasledujicim bodu, u slozky "Locky" klikneme na nastaveni : "Prava|Autorizace" :

[80795-pcp2-png]
5) A odepreme ji veskeré prava, zde jste asi pochopili, jak to celé funguje
* Locky uz se pri pokusu instalace ke slozce Locky nedostane, jelikoz jsme mu predem odebraly veskeré prava .
[80796-pcp3-png]

• Samozrejme, vse musime brat s rezervou, zakladni je prevence i kdyz neni 100%.

[DODATEK]
• Pro nekteré mozna komplikovanejsi, ale jde se chranit i pomoci GPO
1) Stahnou SatACL : https://helgeklein.com/download/#
2) Prejmenujtesetacl.exe v (64Bit adresari) na setacl_64.exe(v 32Bit adresari), tak jako prejmenovanisetacl.exe nasetacl_32.exe
[80797-ccd-png]
3) Okopirujte a vlozte soubory "setacl_32.exe a setacl_64.exe" do slozky "Netlogon " ke kteremu vytvorime pridame nas vytvoreny '.bat' skript :


@echo off
REG ADD HKCU\Software\Locky
IF %PROCESSOR_ARCHITECTURE%==AMD64 Goto 64Bits Else Goto 32Bits
:32Bits
\\SRV-DC01\NETLOGON\Scripts\SetACL_32.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn setowner -ownr n:Administrateurs
\\SRV-DC01\NETLOGON\Scripts\SetACL_32.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn ace -ace "n:Administrateurs;m:deny;p:full"
:64Bits
\\SRV-DC01\NETLOGON\Scripts\SetACL_64.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn setowner -ownr n:Administrateurs
\\SRV-DC01\NETLOGON\Scripts\SetACL_64.exe -on "HKEY_CURRENT_USER\Software\Locky" -ot reg -actn ace -ace "n:Administrateurs;m:deny;p:full"
Goto :Fin
:Fin

• Voila I pres jednoduchost se ted vakcinace provede automaticky. Doufam ze to snad bude nekomu uzitené
* Jestli se GPU nebude chtit aplikovat, pouzijte : gpupdate /force

pcp1.png 33.41 KiB pcp2.png 27.97 KiB pcp3.png 19.70 KiB ccd.png 16.14 KiB

Jsou zobrazeny jen nové komentáře. Zobrazit všechny

Předmět	Autor	Datum
Locky samotny uz obsahuje prilis vela mutacii a pochybujem, zeby vsetky obsahovali trivialnu chybu a… fleg 31.12.2017 13:34	fleg	31.12.2017 13:34
pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov. • Postup js… nový XoXoChanel 31.12.2017 13:38	XoXoChanel	31.12.2017 13:38
Nic za to nedám, když ten klíč vytvořím, zavazet to tam nebude, chleba to taky nežere, tak jsem to t… poslední Prasak 31.12.2017 21:14	Prasak	31.12.2017 21:14

Locky samotny uz obsahuje prilis vela mutacii a pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov. Co si pamatam ja sifrovacie virusy tak prave tie s oblubou tvorili v registroch zapis s nahodne generovanych znakov...takisto si vytvarali rovnake adresare, takze ich nebolo mozno zdetegovat podla nejakeho urcujuceho nazvu. Toto bolo mozne mozno 4-5 rokov dozadu, ked autori este taketo veci moc neriesili.
Nehovoriac o tom, ze akonahle sa nejaka ochrana rozsiri na nete pride nova mutacia, co ju obchadza.
Prve verzie napriklad nesifrovai sietove disky pripojene, takze zalohy nebyvali dotknute. Neskor pomerne dlho fungovala ochrana s tienovymi kopiami az kym neprisli verzie, ktore prepisovali aj tieto...atd.

pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov.

• Postup jsem zkousel na Locky ktery momentalne koluje mail schranky (v mém pripade v podobe zaplaceni faktury Suject "ATTN: Invoice J-689XXX" a souboru _J-689XXX.doc) a zakazani pristupu ke klici fungoval, jinak samozrejme mas pravdu, jak pisu vyse i MPol, v pristi verzi muze a zrejme i bude vse jinak.
* Ovsem na zkousku, nebo i na hratky umyslnou infekci bych doporucil vyhradne pres VM, ne na osobnim PC.

a pochybujem, zeby vsetky obsahovali trivialnu chybu a zasekli sa na zapise do registrov.

• Rozumim ze pochybujes, ale on si v korenovém klici LOCKY vytvari dalsi potrebné, jako "ID, PubKey, PayText" bez kterych nebude fungovat, jako :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext

• Az nasledovne dojde k zapisu a Locky vymaze interni zalohu ("shadow copies") které Windows vytvoril (pres VSS/Volume Snapshot Service) aby nemohla byt pouzita zaloha k obnoveni OS :

C:\Users\(uzivatel)\AppData\Local\Temp\ladybi.exe
C:\Users\(uzivatel)\Documents\_Locky_recover_instructions.txt
etc

Nic za to nedám, když ten klíč vytvořím, zavazet to tam nebude, chleba to taky nežere, tak jsem to tam vytvořil. Třeba to bude užitečný.

Zpět na aktuality Přidat komentář k aktualitě Nahoru