Ενημέρωση των Windows 7 κατά ransomware. Εγκατάσταση του File Server Resource Manager και διαμόρφωση του προτύπου. Εκμεταλλευτείτε την προστασία

Στις 12 Απριλίου 2017, εμφανίστηκαν πληροφορίες σχετικά με την ταχεία εξάπλωση ενός ιού ransomware που ονομάζεται WannaCry σε όλο τον κόσμο, που μπορεί να μεταφραστεί ως «Θέλω να κλάψω». Οι χρήστες έχουν ερωτήσεις σχετικά με Ενημέρωση των Windowsαπό Ιός WannaCry.

Ο ιός στην οθόνη του υπολογιστή μοιάζει με αυτό:

Ο κακός ιός WannaCry που κρυπτογραφεί τα πάντα

Ο ιός κρυπτογραφεί όλα τα αρχεία στον υπολογιστή και απαιτεί λύτρα σε ένα πορτοφόλι Bitcoin ύψους 300 $ ή 600 $ για υποτιθέμενη αποκρυπτογράφηση του υπολογιστή. Οι υπολογιστές σε 150 χώρες σε όλο τον κόσμο μολύνθηκαν, με τη Ρωσία να είναι η πιο επηρεασμένη.

Η Megafon, οι Ρωσικοί Σιδηρόδρομοι, το Υπουργείο Εσωτερικών, το Υπουργείο Υγείας και άλλες εταιρείες αντιμετωπίζουν στενά αυτόν τον ιό. Ανάμεσα στα θύματα είναι απλούς χρήστες Internet.

Σχεδόν όλοι είναι ίσοι απέναντι στον ιό. Η διαφορά, ίσως, είναι ότι στις εταιρείες ο ιός εξαπλώνεται παντού τοπικό δίκτυοεντός του οργανισμού και μολύνει άμεσα όσο το δυνατόν περισσότερο πιθανή ποσότηταυπολογιστές.

Ο ιός WannaCry κρυπτογραφεί αρχεία σε υπολογιστές που χρησιμοποιούν Windows. Η Microsoft κυκλοφόρησε τις ενημερώσεις MS17-010 για διαφορετικές εκδόσεις Windows XP, Vista, 7, 8, 10.

Αποδεικνύεται ότι όσοι είναι αποφασισμένοι αυτόματη ενημέρωσηΤα Windows δεν κινδυνεύουν από τον ιό επειδή έλαβαν έγκαιρα την ενημέρωση και κατάφεραν να την αποφύγουν. Δεν υποθέτω να πω ότι αυτό συμβαίνει στην πραγματικότητα.

Ρύζι. 3. Μήνυμα κατά την εγκατάσταση της ενημέρωσης KB4012212

Η ενημέρωση KB4012212 απαιτούσε επανεκκίνηση του φορητού υπολογιστή μετά την εγκατάσταση, κάτι που δεν μου άρεσε πολύ, γιατί είναι άγνωστο πώς θα μπορούσε να τελειώσει αυτό, αλλά πού πρέπει να πάει ο χρήστης; Ωστόσο, η επανεκκίνηση πήγε καλά. Έτσι, ζούμε ειρηνικά μέχρι την επόμενη επίθεση ιού, και ότι τέτοιες επιθέσεις θα συμβούν, δυστυχώς, δεν υπάρχει αμφιβολία.

Κάποιοι ιοί κερδίζουν, άλλοι εμφανίζονται ξανά. Αυτός ο αγώνας θα είναι προφανώς ατελείωτος.

Βίντεο "Θέλω να κλάψω": ο ιός ransomware μόλυνε 75 χιλιάδες συστήματα σε 99 χώρες

Λάβετε τρέχοντα άρθρα από γνώσεις υπολογιστώνκατευθείαν στο δικό σου γραμματοκιβώτιο .
Ήδη περισσότερα 3.000 συνδρομητές

.

Αυτό το φθινόπωρο, τα Windows 10 ενημερώθηκαν στην έκδοση 1709 με κωδικό που ονομάζεται Φθινόπωρο Ενημέρωση δημιουργώνή Redstone 3. Μεταξύ των πολλών αλλαγών, μας ενδιέφερε πρωτίστως η βελτιωμένη προστασία από άγνωστο κακόβουλο λογισμικό. Η Microsoft έχει λάβει μια σειρά μέτρων για την καταπολέμηση των Trojans και των εκμεταλλεύσεων ransomware. Πόσο επιτυχημένοι ήταν;

Παλιός νέος αμυντικός

Οτιδήποτε καινούργιο είναι ένα παλιό με καλή επωνυμία. Στην "φθινοπωρινή ενημέρωση για σχεδιαστές", τα ενσωματωμένα στοιχεία προστασίας συνδυάστηκαν στο "Κέντρο ασφαλείας Windows Defender". Ακόμη και τείχος προστασίας λογισμικούάρχισε να ονομάζεται "Windows Defender Firewall", αλλά αυτές οι αλλαγές είναι καθαρά καλλυντικές. Τα πιο σημαντικά αφορούν τα νέα χαρακτηριστικά, τα οποία θα δούμε αναλυτικότερα παρακάτω.

Ένα άλλο παλιό-νέο στοιχείο που εισήχθη στο Redstone 3 ονομάζεται Exploit Protection. Windows DefenderΤο Exploit Guard, ή απλά το EG, ενεργοποιείται μέσω του Windows Defender Security Center στην ενότητα Application and Browser Control.

Τεχνικά Exploit Guard είναι πρώην βοηθητικό πρόγραμμα Enhanced Mitigation Experience Toolkit με ελαφρώς αυξημένο σύνολο λειτουργιών και νέα διεπαφή. Η ΕΜΕΤ εμφανίστηκε ξανά Ώρες WindowsΤα Vista έχουν πλέον διακοπεί και η Exploit Guard έχει πάρει τη θέση του. Ανήκει στα εργαλεία Advanced Threat Protection, μαζί με το Device Guard συνδεδεμένο device manager και το Defer ΕφαρμογήΦρουρά. Οι κακές γλώσσες λένε ότι η Microsoft ήθελε αρχικά να εισαγάγει ένα κοινό Προηγμένο στοιχείο System Security Guard, αλλά η συντομογραφία αποδείχθηκε εντελώς παράφωνη.

Εκμεταλλευτείτε την προστασία

Το Exploit Guard είναι απλώς ένα εργαλείο μείωσης κινδύνου που δεν εξαλείφει την ανάγκη κλεισίματος των τρωτών σημείων στο λογισμικό, αλλά καθιστά πιο δύσκολη τη χρήση τους. Γενικά, η αρχή λειτουργίας του Exploit Guard είναι να απαγορεύει εκείνες τις λειτουργίες που χρησιμοποιούνται συχνότερα από κακόβουλο λογισμικό.

Το πρόβλημα είναι ότι τα χρησιμοποιούν και πολλά νόμιμα προγράμματα. Επιπλέον, υπάρχουν παλιά προγράμματα (ή μάλλον, δυναμικές βιβλιοθήκες), το οποίο απλά θα σταματήσει να λειτουργεί εάν χρησιμοποιηθεί Windows νέαλειτουργίες ελέγχου μνήμης και άλλα σύγχρονα μέσαπροστασία.

Επομένως, η ρύθμιση του Exploit Guard είναι ίδια με τη χρήση του EMET στο παρελθόν. Στη μνήμη μου, πολλοί διαχειριστές πέρασαν μήνες εξετάζοντας τις περιπλοκές των ρυθμίσεων και στη συνέχεια απλώς σταμάτησαν να χρησιμοποιούν περιοριστικές λειτουργίες λόγω πολλών παραπόνων χρηστών.

Εάν η ασφάλεια προηγείται και πρέπει να σφίξετε τις βίδες, τότε τα πιο δημοφιλή χαρακτηριστικά του Exploit Guard ήταν (από την εποχή του EMET) και παραμένουν:

  • ΔΕΠ(Data Execution Prevention) - αποτροπή εκτέλεσης δεδομένων. Δεν επιτρέπει την εκτέλεση ενός τμήματος κώδικα που καταλήγει σε μια περιοχή μνήμης που δεν προορίζεται για αυτόν τον σκοπό (για παράδειγμα, ως αποτέλεσμα σφάλματος υπερχείλισης στοίβας).
  • τυχαία ανακατανομή μνήμης- αποτρέπει επιθέσεις σε γνωστές διευθύνσεις.
  • απενεργοποίηση σημείων επέκτασης- αποτρέπει την έγχυση DLL σε διεργασίες που εκτελούνται (βλ. σχετικά με την παράκαμψη του UAC, όπου αυτή η μέθοδος χρησιμοποιήθηκε ευρέως).
  • ομάδα DisallowChildProcessCreation- απαγορεύει καθορισμένη εφαρμογήδημιουργία παιδικών διαδικασιών.
  • φιλτράρισμα πινάκων διευθύνσεων εισαγωγής (IAF) και πινάκων διευθύνσεων εξαγωγής (EAF)- αποτρέπει μια (κακόβουλη) διεργασία από την ωμή επιβολή πινάκων διευθύνσεων και την πρόσβαση στη σελίδα μνήμης των βιβλιοθηκών του συστήματος.
  • CallerCheck- ελέγχει για δικαιώματα κλήσης εμπιστευτικών API.
  • SimExec- προσομοίωση εκτέλεσης. Ελέγχει πριν από την πραγματική εκτέλεση κώδικα σε ποιον θα επιστρέψουν οι ευαίσθητες κλήσεις API.

Οι εντολές μπορούν να περάσουν μέσω του PowerShell. Για παράδειγμα, μια απαγόρευση δημιουργίας θυγατρικών διεργασιών μοιάζει με αυτό:

Set-ProcessMitigation -Name executable.exe -Enable DisallowChildProcessCreation

Όλοι οι επεξεργαστές και τα chipset x86 των τελευταίων δέκα ετών υποστηρίζουν DEP on επίπεδο υλικού, και για πολύ ηλικιωμένους είναι διαθέσιμο υλοποίηση λογισμικούαυτή τη λειτουργία. Ωστόσο, για χάρη της συμβατότητας των νέων εκδόσεων των Windows με την παλιά Λογισμικό της Microsoftεξακολουθεί να συνιστά την ενεργοποίηση του DEP σε «μόνο για διαδικασίες του συστήματος" Για τον ίδιο λόγο, ήταν δυνατή η απενεργοποίηση του DEP για οποιαδήποτε διαδικασία. Όλα αυτά έχουν χρησιμοποιηθεί με επιτυχία σε τεχνικές παράκαμψης DEP.

Επομένως, είναι λογικό να χρησιμοποιείτε το Exploit Guard μόνο εάν είναι δυνατή η χρήση πολλών προστατευτικών λειτουργιών ταυτόχρονα χωρίς να προκληθεί τουλάχιστον αστοχία στη λειτουργία των κύριων εφαρμογών. Στην πράξη αυτό είναι σπάνια δυνατό. Ακολουθεί ένα παράδειγμα ενός προφίλ EG που έχει μετατραπεί από EMET, το οποίο γενικά προκαλεί τη συντριβή των Windows 10 στο BSoD. Μια φορά κι έναν καιρό, ο Hacker είχε μια ενότητα "Western Construction" και το Exploit Guard θα ταίριαζε τέλεια σε αυτό.

Η συνέχεια είναι διαθέσιμη μόνο σε συνδρομητές

Επιλογή 1. Εγγραφείτε στο Hacker για να διαβάσετε όλο το υλικό στον ιστότοπο

Η συνδρομή θα σας επιτρέψει να καθορισμένη περίοδοδιαβάστε ΟΛΟ το υλικό επί πληρωμή στον ιστότοπο. Δεχόμαστε πληρωμήτραπεζικές κάρτες

Ένας από τους τρόπους καταπολέμησης των ιών ransomware είναι η απαγόρευση μετονομασίας αρχείων. Εάν γνωρίζουμε ποια επέκταση θα λάβει το αρχείο μετά την κρυπτογράφηση με ιό, τότε μπορούμε απλά να απαγορεύσουμε τη δημιουργία αρχείων με αυτήν την επέκταση. Θα απαγορεύσουμε επίσης τη δημιουργία διάσημων αρχεία κειμένουπου περιέχουν απαιτήσεις ransomware, οι οποίες με τη σειρά τους θα βοηθήσουν στην προστασία από ιούς που δεν αλλάζουν την επέκταση αρχείου κατά την κρυπτογράφηση.

Εγκατάσταση του File Server Resource Manager και διαμόρφωση του προτύπου.

Αρχικά, εγκαταστήστε τον ρόλο "Διαχείριση πόρων". διακομιστή αρχείων" Αυτό μπορεί να γίνει μέσω του Server Manager ή μέσω Powershell. Ας εξετάσουμε τη δεύτερη επιλογή:

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Μετά την εγκατάσταση του FSRM, φροντίστε να επανεκκινήσετε τον διακομιστή.

Μετά την επανεκκίνηση Έναρξη -> Εκτέλεση -> fsrm.msc

Ας δημιουργήσουμε μια ομάδα Ομάδες αρχείων Anti-Ransomwareκαι προσθέστε κάποια επέκταση σε αυτό που θέλουμε να αποκλείσουμε.

Η μη αυτόματη προσθήκη των πάντων διαρκεί πολύ, επομένως αυτοματοποιούμε τη διαδικασία. Θα πάρουμε τη λίστα με τις απαγορευμένες επεκτάσεις από τον ιστότοπο https://fsrm.experiant.ca

Ας δημιουργήσουμε και ας εκτελέσουμε ένα σενάριο Powershell ως διαχειριστής.

$gr_name = "Ομάδες αρχείων Anti-Ransomware" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).περιεχόμενο | convertfrom-json | % ($_.filters) set-FsrmFileGroup -name $gr_name -IncludePattern @($req)

Μετά την εκτέλεση του σεναρίου, ελέγχουμε την ομάδα Ομάδες αρχείων Anti-Ransomware, οι επεκτάσεις και τα ονόματα αρχείων που θα αποκλειστούν θα πρέπει να εμφανίζονται σε αυτό.

Στις ρυθμίσεις προτύπου, επιλέξτε μια ομάδα Ομάδες αρχείων Anti-Ransomwareτύπος Εντάξει. Επιπλέον, μπορείτε να ρυθμίσετε μια ειδοποίηση για e-mail, εγγραφή στο αρχείο καταγραφής, εκκίνηση ενός σεναρίου ή ενός προγράμματος που βασίζεται σε ένα συμβάν.

Τέλος, μεταβείτε στην ενότητα Φίλτρα αποκλεισμού αρχείων.

Εδώ υποδεικνύουμε τη διαδρομή προς τον κατάλογο που πρέπει να προστατευτεί και το πρότυπο που χρησιμοποιείται.

Ως αποτέλεσμα, όταν προσπαθείτε να αλλάξετε την επέκταση αρχείου σε αυτό που βρίσκεται στη λίστα μας Ομάδες αρχείων Anti-Ransomwareθα πάρουμε απαγόρευση ηχογράφησης.

Αποκλεισμός του μολυσμένου χρήστη.

Αφού εντοπίσετε μια μόλυνση, πρέπει να λάβετε μέτρα για την πηγή της απειλής. Δικαίωμα χρησιμοποίησης κοινόχρηστο φάκελοένας χρήστης που έχει λάβει ransomware στον υπολογιστή του. Για να γίνει αυτό, θα το τοποθετήσουμε στο δίσκο ΝΤΟ:\αρχείο SmbBlock.ps1με το ακόλουθο περιεχόμενο:

Param($username = "") Get-SmbShare -Special $false | ForEach-Object ( Block-SmbShareAccess -Name $_.Name -AccountName "$username" -Force )

Ας επιστρέψουμε στο Μπλοκάρισμα μοτίβων φίλτρωνκαι επιλέξτε την καρτέλα Ομάδα.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Εντολή "& (C:\smbblock.ps1 -όνομα χρήστη ‘’)"

Ως αποτέλεσμα της εκτέλεσης σεναρίου, ο μολυσμένος χρήστης λαμβάνει προσωπική απαγόρευσηγια να μπείτε στο φάκελο.

Αυτή η μέθοδος προστασίας δεν αποτελεί απόλυτη λύση σε αυτό το πρόβλημα γιατί Οι συγγραφείς ιών δεν μένουν ακίνητοι, αλλά ως ένα από τα συστατικά ολοκληρωμένη προστασίααρκετά εφαρμόσιμο.

Το νέο κακόβουλο λογισμικό ransomware WannaCry (το οποίο έχει επίσης μια σειρά από άλλα ονόματα - WannaCry Decryptor, WannaCrypt, WCry και WanaCrypt0r 2.0) έγινε γνωστό στον κόσμο στις 12 Μαΐου 2017, όταν κρυπτογραφήθηκαν αρχεία σε υπολογιστές σε πολλά ιδρύματα υγειονομικής περίθαλψης στο Ηνωμένο Βασίλειο . Όπως έγινε σύντομα σαφές, στο παρόμοια κατάστασηΥπήρχαν εταιρείες σε δεκάδες χώρες και η Ρωσία, η Ουκρανία, η Ινδία και η Ταϊβάν υπέφεραν τα περισσότερα. Σύμφωνα με την Kaspersky Lab, μόνο την πρώτη ημέρα της επίθεσης, ο ιός εντοπίστηκε σε 74 χώρες.

Γιατί είναι επικίνδυνο το WannaCry; Ο ιός κρυπτογραφεί αρχεία διάφορα είδη(λαμβάνοντας την επέκταση .WCRY, τα αρχεία γίνονται εντελώς αδιάβαστα) και στη συνέχεια απαιτεί λύτρα 600 $ για αποκρυπτογράφηση. Για να επιταχυνθεί η διαδικασία μεταφοράς χρημάτων, ο χρήστης εκφοβίζεται από το γεγονός ότι σε τρεις ημέρες το ποσό των λύτρων θα αυξηθεί και Μετά από επτά ημέρες τα αρχεία θα είναι αδύνατο να αποκρυπτογραφηθούν καθόλου.

Υπολογιστές που βασίζονται σε λειτουργικά συστήματα Windows. Εάν χρησιμοποιείτε εκδόσεις με άδεια χρήσης Windows και ενημερώνετε τακτικά το σύστημά σας, δεν χρειάζεται να ανησυχείτε μήπως εισέλθει ιός στο σύστημά σας με αυτόν τον τρόπο.

Χρήστες MacOS, ChromeOS και Linux, καθώς και λειτουργικά συστήματα για κινητά συστήματα iOSκαι Android Επιθέσεις WannaCryΔεν υπάρχει λόγος να φοβάσαι καθόλου.

Τι να κάνετε εάν είστε θύμα του WannaCry;

Βρετανοί Εθνική ΥπηρεσίαΗ NCA συνιστά στις μικρές επιχειρήσεις που έχουν πέσει θύματα ransomware και ανησυχούν για την εξάπλωση του ιού στο διαδίκτυο θα πρέπει να προβούν στις ακόλουθες ενέργειες:

  • Απομονώστε αμέσως τον υπολογιστή, το φορητό υπολογιστή ή το tablet σας από εταιρική/ εσωτερικό δίκτυο. Απενεργοποιήστε το Wi-Fi.
  • Αλλάξτε προγράμματα οδήγησης.
  • Χωρίς σύνδεση με Δίκτυα Wi-Fi, συνδέστε απευθείας τον υπολογιστή σας στο Διαδίκτυο.
  • Ενημερώστε το λειτουργικό σας σύστημα και όλο το άλλο λογισμικό.
  • Ενημερώστε και εκτελέστε το λογισμικό προστασίας από ιούς.
  • Επανασυνδεθείτε στο δίκτυο.
  • Ελεγκτής εκπομπών κυκλοφορίας δικτύουκαι/ή εκτελέστε σάρωση για ιούς για να βεβαιωθείτε ότι το ransomware έχει εξαφανιστεί.

Σπουδαίος!

Τα αρχεία που είναι κρυπτογραφημένα από τον ιό WannaCry δεν μπορούν να αποκρυπτογραφηθούν από κανέναν εκτός από τους εισβολείς. Επομένως, μην χάνετε χρόνο και χρήμα σε αυτές τις «ιδιοφυΐες πληροφορικής» που υπόσχονται να σας σώσουν από αυτόν τον πονοκέφαλο.

Αξίζει να πληρώσετε χρήματα στους επιτιθέμενους;

Οι πρώτες ερωτήσεις που κάνουν οι χρήστες που αντιμετωπίζουν τον νέο ιό ransomware WannaCry είναι: πώς να ανακτήσετε αρχεία και πώς να αφαιρέσετε έναν ιό. Μη βρίσκοντας δωρεάν και αποτελεσματικούς τρόπουςαποφάσεις, έρχονται αντιμέτωποι με μια επιλογή: να πληρώσουν χρήματα στον εκβιαστή ή όχι; Δεδομένου ότι οι χρήστες έχουν συχνά κάτι να χάσουν (προσωπικά έγγραφα και αρχεία φωτογραφιών αποθηκεύονται στον υπολογιστή), εμφανίζεται πραγματικά η επιθυμία να λυθεί το πρόβλημα με χρήματα.

Αλλά η NCA προτρέπει έντονα Δενπληρώσει χρήματα. Εάν αποφασίσετε να το κάνετε αυτό, έχετε υπόψη σας τα εξής:

  • Πρώτον, δεν υπάρχει καμία εγγύηση ότι θα αποκτήσετε πρόσβαση στα δεδομένα σας.
  • Δεύτερον, ο υπολογιστής σας μπορεί να έχει μολυνθεί από ιό ακόμα και μετά την πληρωμή.
  • Τρίτον, πιθανότατα απλά θα δώσετε τα χρήματά σας σε εγκληματίες του κυβερνοχώρου.

Πώς να προστατευτείτε από το WannaCry;

Ο Vyacheslav Belashov, επικεφαλής του τμήματος υλοποίησης συστημάτων ασφάλειας πληροφοριών στο SKB Kontur, εξηγεί ποιες ενέργειες πρέπει να ληφθούν για την πρόληψη της μόλυνσης από τον ιό:

Η ιδιαιτερότητα του ιού WannaCry είναι ότι μπορεί να διεισδύσει σε ένα σύστημα χωρίς ανθρώπινη παρέμβαση, σε αντίθεση με άλλους ιούς κρυπτογράφησης. Προηγουμένως, για να λειτουργήσει ο ιός, ήταν απαραίτητο ο χρήστης να είναι απρόσεκτος - να ακολουθήσει έναν αμφίβολο σύνδεσμο από ένα email που στην πραγματικότητα δεν προοριζόταν για αυτόν ή να κατεβάσει ένα κακόβουλο συνημμένο. Στην περίπτωση του WannaCry, γίνεται εκμετάλλευση μιας ευπάθειας που υπάρχει απευθείας στο ίδιο το λειτουργικό σύστημα. Επομένως, οι υπολογιστές ενεργοποιημένοι Βασισμένο στα Windows, στο οποίο δεν εγκαταστάθηκαν οι ενημερώσεις με ημερομηνία 14 Μαρτίου 2017. Ένα μολυσμένο άτομο είναι αρκετό σταθμός εργασίαςαπό το τοπικό δίκτυο, ώστε ο ιός να μπορεί να εξαπλωθεί σε άλλους με την υπάρχουσα ευπάθεια.

Οι χρήστες που επηρεάζονται από τον ιό έχουν φυσικά ένα βασικό ερώτημα: πώς να αποκρυπτογραφήσουν τις πληροφορίες τους; Δυστυχώς, προς το παρόν εγγυημένη λύσηόχι και είναι απίθανο να συμβεί. Ακόμη και μετά την πληρωμή του καθορισμένου ποσού, το πρόβλημα δεν λύνεται. Επιπλέον, η κατάσταση μπορεί να επιδεινωθεί από το γεγονός ότι ένα άτομο, με την ελπίδα να ανακτήσει τα δεδομένα του, κινδυνεύει να χρησιμοποιήσει δήθεν «δωρεάν» αποκρυπτογραφητές, οι οποίοι στην πραγματικότητα είναι επίσης κακόβουλα αρχεία. Επομένως, η κύρια συμβουλή που μπορεί να δοθεί είναι να είστε προσεκτικοί και να κάνετε ό,τι είναι δυνατόν για να αποφύγετε μια τέτοια κατάσταση.

Τι ακριβώς μπορεί και τι πρέπει να γίνει αυτή τη στιγμή:

1. Εγκαταστήστε τις πιο πρόσφατες ενημερώσεις.

Αυτό ισχύει όχι μόνο για λειτουργικά συστήματα, αλλά και για εργαλεία προστασία από ιούς. Πληροφορίες για την ενημέρωση των Windows μπορείτε να βρείτε εδώ.

2. Δημιουργήστε αντίγραφα ασφαλείας σημαντικών πληροφοριών.

3. Να είστε προσεκτικοί όταν εργάζεστε με αλληλογραφία και Διαδίκτυο.

Πρέπει να προσέχετε τα εισερχόμενα email με αμφίβολους συνδέσμους και συνημμένα. Για να εργαστείτε με το Διαδίκτυο, συνιστάται η χρήση πρόσθετων που σας επιτρέπουν να απαλλαγείτε από αυτά περιττή διαφήμισηκαι συνδέσμους σε δυνητικά κακόβουλες πηγές.

Αυτό το φθινόπωρο, τα Windows 10 ενημερώθηκαν στην έκδοση 1709, με την κωδική ονομασία Φθινοπωρινοί ΔημιουργοίΕνημέρωση ή Redstone 3. Μεταξύ των πολλών αλλαγών, μας ενδιέφερε πρωτίστως η βελτιωμένη προστασία από άγνωστο κακόβουλο λογισμικό. Η Microsoft έχει λάβει μια σειρά μέτρων για την καταπολέμηση των Trojans και των εκμεταλλεύσεων ransomware. Πόσο επιτυχημένοι ήταν;

Παλιός νέος αμυντικός
Οτιδήποτε καινούργιο είναι ένα παλιό με καλή επωνυμία. Στην "φθινοπωρινή ενημέρωση για σχεδιαστές", τα ενσωματωμένα στοιχεία προστασίας συνδυάστηκαν στο "Κέντρο ασφαλείας Windows Defender". Ακόμη και το τείχος προστασίας λογισμικού άρχισε να ονομάζεται "Windows Defender Firewall", αλλά αυτές οι αλλαγές είναι καθαρά καλλυντικές. Τα πιο σημαντικά αφορούν τα νέα χαρακτηριστικά, τα οποία θα δούμε αναλυτικότερα παρακάτω.

Ένα άλλο παλιό-νέο στοιχείο που εισήχθη στο Redstone 3 ονομάζεται Exploit Protection. Το Windows Defender Exploit Guard, ή απλά EG, ενεργοποιείται μέσω του Κέντρου ασφαλείας του Windows Defender στην ενότητα Έλεγχος εφαρμογών και προγράμματος περιήγησης.

Τεχνικά, το Exploit Guard είναι το πρώην Enhanced Mitigation Experience Toolkit με ελαφρώς αυξημένο σύνολο χαρακτηριστικών και νέα διεπαφή. Η ΕΜΕΤ εμφανίστηκε τις μέρες μας Windows Vista, τώρα έχει διακοπεί και η Exploit Guard πήρε τη θέση της. Ανήκει στο Advanced Threat Protection, μαζί με το Device Guard Connected Device Manager και το Application Guard. Οι κακές γλώσσες λένε ότι η Microsoft ήθελε αρχικά να εισαγάγει ένα κοινό στοιχείο Προηγμένο σύστημαΑσφαλείας, αλλά η συντομογραφία αποδείχθηκε εντελώς παράφωνη.

Εκμεταλλευτείτε την προστασία
Το Exploit Guard είναι απλώς ένα εργαλείο μείωσης κινδύνου που δεν εξαλείφει την ανάγκη κλεισίματος των τρωτών σημείων στο λογισμικό, αλλά καθιστά πιο δύσκολη τη χρήση τους. Γενικά, η αρχή λειτουργίας του Exploit Guard είναι να απαγορεύει εκείνες τις λειτουργίες που χρησιμοποιούνται συχνότερα από κακόβουλο λογισμικό.

Το πρόβλημα είναι ότι τα χρησιμοποιούν και πολλά νόμιμα προγράμματα. Επιπλέον, υπάρχουν παλιά προγράμματα (ή μάλλον, δυναμικές βιβλιοθήκες) που απλώς θα σταματήσουν να λειτουργούν εάν ενεργοποιηθούν νέες λειτουργίες ελέγχου μνήμης και άλλα σύγχρονα μέτρα προστασίας στα Windows.

Επομένως, η ρύθμιση του Exploit Guard είναι ίδια με τη χρήση του EMET στο παρελθόν. Στη μνήμη μου, πολλοί διαχειριστές πέρασαν μήνες εξετάζοντας τις περιπλοκές των ρυθμίσεων και στη συνέχεια απλώς σταμάτησαν να χρησιμοποιούν περιοριστικές λειτουργίες λόγω πολλών παραπόνων χρηστών.

Εάν η ασφάλεια προηγείται και πρέπει να σφίξετε τις βίδες, τότε τα πιο δημοφιλή χαρακτηριστικά του Exploit Guard ήταν (από την εποχή του EMET) και παραμένουν:

  • ΔΕΠ(Data Execution Prevention) - αποτροπή εκτέλεσης δεδομένων. Δεν επιτρέπει την εκτέλεση ενός τμήματος κώδικα που καταλήγει σε μια περιοχή μνήμης που δεν προορίζεται για αυτόν τον σκοπό (για παράδειγμα, ως αποτέλεσμα σφάλματος υπερχείλισης στοίβας).
  • τυχαία ανακατανομή μνήμης- αποτρέπει επιθέσεις σε γνωστές διευθύνσεις.
  • απενεργοποίηση σημείων επέκτασης- αποτρέπει την έγχυση DLL σε διεργασίες που εκτελούνται (δείτε το άρθρο σχετικά με την παράκαμψη του UAC, όπου αυτή η μέθοδος χρησιμοποιήθηκε ευρέως).
  • Εντολή DisallowChildProcessCreation- απαγορεύει στην καθορισμένη εφαρμογή να δημιουργεί θυγατρικές διαδικασίες.
  • φιλτράρισμα πινάκων διευθύνσεων εισαγωγής (IAF) και πινάκων διευθύνσεων εξαγωγής (EAF)- αποτρέπει μια (κακόβουλη) διεργασία από την ωμή επιβολή πινάκων διευθύνσεων και την πρόσβαση στη σελίδα μνήμης των βιβλιοθηκών του συστήματος.
  • CallerCheck- ελέγχει για δικαιώματα κλήσης εμπιστευτικών API.
  • SimExec- προσομοίωση εκτέλεσης. Ελέγχει πριν από την πραγματική εκτέλεση κώδικα σε ποιον θα επιστρέψουν οι ευαίσθητες κλήσεις API.
Οι εντολές μπορούν να περάσουν μέσω του PowerShell. Για παράδειγμα, μια απαγόρευση δημιουργίας θυγατρικών διεργασιών μοιάζει με αυτό:

Set-ProcessMitigation -Όνομα executable.exe
-Ενεργοποιήστε το DisallowChildProcessCreation

Όλοι οι επεξεργαστές x86 και τα chipset των τελευταίων δέκα ετών υποστηρίζουν DEP σε επίπεδο υλικού και για πολύ παλιούς είναι διαθέσιμη μια εφαρμογή λογισμικού αυτής της λειτουργίας. Ωστόσο, για χάρη της συμβατότητας των νέων εκδόσεων των Windows με παλαιότερο λογισμικό, η Microsoft εξακολουθεί να συνιστά την ενεργοποίηση του DEP στη λειτουργία "μόνο διεργασίες συστήματος". Για τον ίδιο λόγο, ήταν δυνατή η απενεργοποίηση του DEP για οποιαδήποτε διαδικασία. Όλα αυτά έχουν χρησιμοποιηθεί με επιτυχία σε τεχνικές παράκαμψης DEP.

Επομένως, είναι λογικό να χρησιμοποιείτε το Exploit Guard μόνο εάν είναι δυνατή η χρήση πολλών προστατευτικών λειτουργιών ταυτόχρονα χωρίς να προκληθεί τουλάχιστον αστοχία στη λειτουργία των κύριων εφαρμογών. Στην πράξη αυτό είναι σπάνια δυνατό. Ακολουθεί ένα παράδειγμα ενός προφίλ EG που έχει μετατραπεί από EMET, το οποίο γενικά προκαλεί τη συντριβή των Windows 10 στο BSoD. Μια φορά κι έναν καιρό, ο Hacker είχε μια ενότητα "Western Construction" και το Exploit Guard θα ταίριαζε τέλεια σε αυτό.

Προστασία από ransomware
«Όλα τα αρχεία σας έχουν κρυπτογραφηθεί. Για να τα αποκρυπτογραφήσετε, απαριθμήστε τα bitcoin κατά καθορισμένη διεύθυνση"- πιθανότατα έχετε ήδη δει μια παρόμοια επιγραφή, αν όχι μόνοι σας, τότε στην επιφάνεια εργασίας κάποιου άλλου.

Σήμερα, το ransomware είναι η κύρια υποκατηγορία των Trojans ransomware και τα Windows είναι η κύρια πλατφόρμα που δέχεται επίθεση. Ως εκ τούτου, η Microsoft προσπαθεί να λάβει πρόσθετα μέτρα ασφαλείας. Το πρόβλημα είναι ότι το ransomware δεν είναι ένας κλασικός ιός και η αποτελεσματική αντιμετώπιση του απαιτεί ριζικά διαφορετικές προσεγγίσεις. Σχεδόν κάθε πρόγραμμα προστασίας από ιούς μπορεί να πιάσει έναν πολύ γνωστό Trojan με την υπογραφή του, αλλά η σύλληψη ενός νέου είναι μια εντελώς διαφορετική εργασία.

Ένα προληπτικό χτύπημα από ένα πρόγραμμα προστασίας από ιούς είναι δύσκολο, μόνο και μόνο επειδή οι Trojans ransomware χρησιμοποιούν νόμιμη κρυπτογραφία, όπως πολλοί δημοφιλή προγράμματα. Συνήθως δεν υπάρχουν εμφανή σημάδια κακόβουλης δραστηριότητας στον κώδικά τους, επομένως τα ευρετικά και άλλα μέτρα ανάλυσης χωρίς υπογραφή συχνά αποτυγχάνουν.

Η εύρεση διακριτικών δεικτών ransomware είναι πονοκέφαλος για όλους τους προγραμματιστές προστασίας από ιούς. Το μόνο που μπορούν να προσφέρουν μέχρι στιγμής είναι να αντικαταστήσουν την εργασία. Αντί να ψάχνετε για ransomware, εστιάστε στον κύριο στόχο τους και παρακολουθήστε το. Δηλαδή, ελέγξτε την πρόσβαση στα αρχεία και τους καταλόγους του χρήστη, καθώς και τακτικά αντίγραφα ασφαλείας σε περίπτωση που το ransomware φτάσει σε αυτά.

Όπως διαπιστώσαμε σε ένα από τα προηγούμενα άρθρα, στην πράξη αυτό απέχει πολύ από την ιδανική προσέγγιση. Ο έλεγχος πρόσβασης είναι και πάλι μια ισορροπία μεταξύ ασφάλειας και άνεσης, στραμμένη σε μεγάλο βαθμό προς την ταλαιπωρία. Εννοιολογικά, η κατάσταση είναι η ίδια όπως όταν χρησιμοποιείτε το Exploit Guard: είτε εφαρμόζονται πλήρως οι απαγορευτικοί κανόνες, αλλά η εργασία σε υπολογιστή καθίσταται προβληματική είτε οι περιορισμοί τίθενται επίσημα για λόγους διατήρησης της συμβατότητας με παλαιότερο λογισμικό και ευκολίας του χρήστη.


Παρόμοιος έλεγχος πρόσβασης έχει εμφανιστεί εδώ και καιρό σε προγράμματα προστασίας από ιούς τρίτων, αλλά σε ελαφρώς διαφορετική μορφή. Στόχευε στην ασφάλεια του συστήματος, όχι στον εντοπισμό απειλών. Υποτίθεται ότι εάν το πρόγραμμα προστασίας από ιούς χάσει το κακόβουλο λογισμικό, πρόσθετα κεφάλαιαΤα στοιχεία ελέγχου απλώς θα μπλοκάρουν τις ανεπιθύμητες αλλαγές στον κατάλογο \Windows\ και στον bootloader.

Αν για αρχεία συστήματοςΑυτή η προσέγγιση εξακολουθεί να είναι κατά κάποιο τρόπο κατάλληλη, αλλά για προσαρμοσμένες δεν είναι. Διαφορετικός κατάλογο συστήματος, τα περιεχόμενα του οποίου είναι πάνω κάτω το ίδιο διαφορετικούς υπολογιστές, ο χρήστης μπορεί να περιέχει οτιδήποτε. Επιπλέον, αιτήματα για αλλαγή αρχείων σε αυτό μπορούν να προέρχονται από οποιοδήποτε πρόγραμμα. Προσθέστε σε αυτό το OLE, τη δυνατότητα οποιασδήποτε διαδικασίας να καλεί μια άλλη και να ανοίγει αρχεία μέσω αυτής, και θα έχετε μια ιδέα για το πώς είναι η κόλαση για έναν προγραμματιστή προστασίας από ιούς.

Από την τροποποίηση αρχεία χρήστηδεν επηρεάζει τη λειτουργία του λειτουργικού συστήματος με κανέναν τρόπο τα Windows δεν είχαν ενσωματωμένα μέσα προστασίας τους. Όλα άλλαξαν με την κυκλοφορία του ενημερωμένου εκδόσεις Windows 10, στο οποίο το ενσωματωμένο "Defender" άρχισε να παρακολουθεί έγγραφα, φωτογραφίες και άλλο περιεχόμενο χρήστη. Υποστηρίζεται ότι θα αποτρέψει την αντικατάσταση αρχείων με κρυπτογραφημένες εκδόσεις, στερώντας από τους δημιουργούς των Trojans τον λόγο να απαιτήσουν λύτρα.

Πείραμα
Για δοκιμή, αποφασίσαμε να δημιουργήσουμε έναν δοκιμαστικό φάκελο C:\Docs\ με έγγραφα διαφορετικών τύπωνκαι προσθέστε το στη λίστα ελέγχου Πρόσβαση στα Windowsαμυντικός. Στη συνέχεια ξεκίνησαν πολλά Trojans ransomware και είδαν αν μπορούσαν " Windows Defender» αντισταθείτε τους.


Σε αυτό Δοκιμή WindowsΟ Defender αντιμετώπισε την επιλογή των Trojans καλύτερα από πολλά προγράμματα προστασίας από ιούς τρίτων. Απλώς δεν με άφησε να αντιγράψω από μονάδα δίσκου δικτύουούτε ένα δείγμα, συμπεριλαμβανομένων διάφορες τροποποιήσεις WannaCry, Petya, TeslaCrypt, Jigsaw, Locky και Satana. Όλα αυτά διαγράφηκαν αυτόματα, παρά την αλλαγμένη επέκταση (.tst) και τη συσκευασία με χρήση UPX.


Το νέο στοιχείο Ελεγχόμενης πρόσβασης φακέλων αποτελεί μέρος της προστασίας σε πραγματικό χρόνο. Επομένως, απενεργοποιήστε τη σάρωση on-the-fly στο Windows Defender και ελέγξτε νέο χαρακτηριστικόΔεν θα λειτουργήσει ξεχωριστά. Καθιστώ ανίκανο μόνιμη προστασίαείναι δυνατό μόνο πλήρως, αλλά τότε το αποτέλεσμα θα είναι προβλέψιμο.


Έχουμε επεκτείνει τη δοκιμαστική επιλογή ransomware για να συμπεριλάβουμε νέους και ελάχιστα γνωστούς τύπους. Ωστόσο, το Windows Defender τα διέγραψε αμέσως όλα, χωρίς να αφήνει άλλη επιλογή. Ως εκ τούτου, αποφασίστηκε να γίνει ένα πείραμα μοντέλου, γράφοντας... όχι, όχι! Τι λέτε κύριε εισαγγελέα! Όχι ένα Trojan, αλλά ένα απλό, ακίνδυνο πρόγραμμα. Ορίστε ο κωδικός, καλώς ήρθατε στη δεκαετία του '90!

@echo off
echo Ανοίξτε τον κατάλογο «Έγγραφα».
cd C:\Docs\
σκην
echo Το αρχικό περιεχόμενο του αρχείου «lenses.txt» παρατίθεται παρακάτω:
περισσότερο< lenses.txt
echo Αλλαγή κειμένου στο αρχείο "lenses.txt"...
echo Τα δεδομένα αρχείου αντικαταστάθηκαν από αυτό το string>lenses.txt
ηχώ Έγινε!
περισσότερο< lenses.txt
Οποιοδήποτε ransomware αντικαθιστά τα αρχεία του χρήστη με τις κρυπτογραφημένες εκδόσεις τους. Ουσιαστικά, πρέπει να δοκιμάσουμε πώς η δυνατότητα Ελεγχόμενης πρόσβασης φακέλων αποκλείει τις λειτουργίες αντικατάστασης αρχείων στον κατάλογο ενός χρήστη. Αυτό το πρόγραμμα απλώς αντικαθιστά τα περιεχόμενα του αρχείου καθορισμένο κατάλογοτη γραμμή που ορίζετε. Το σύμβολο > ανακατευθύνει την έξοδο της κονσόλας σε ένα αρχείο, αντικαθιστώντας το πλήρως.

Το πλεονέκτημα αυτού του αρχείου δέσμης είναι ότι φαίνεται ύποπτο (ένα εκτελέσιμο αρχείο με χαμηλή φήμη) και ο κωδικός του είναι σίγουρα άγνωστος στο antivirus. Απλώς γράφτηκε και δεν είχε χρόνο να εμφανιστεί πουθενά. Το αρχείο lens.txt καθορίστηκε ως στόχος, επειδή τα περιεχόμενά του είναι μορφοποιημένα με χαρακτήρες καρτέλας και εμφανίζονται καθαρά στην κονσόλα με την εντολή more σε μία οθόνη.

Μετά την εκτόξευση αρχείο δέσμηςεμφανίζει τα περιεχόμενα του καταλόγου C:\Docs\ και μετά το αρχείο lenses.txt. Προσπαθεί να το αντικαταστήσει με τη συμβολοσειρά Τα δεδομένα αρχείου αντικαταστάθηκαν από αυτήν τη συμβολοσειρά και εμφανίζει ξανά τα περιεχόμενα του lenses.txt για να ελέγξει το αποτέλεσμα. Το ίδιο το αρχείο δέσμης εκκινείται από έναν άλλο κατάλογο - "Λήψεις", προσομοιώνοντας τη συνήθεια άπειρος χρήστης(κατεβάστε οτιδήποτε και κάντε κλικ σε όλα).

Αν τρέξουμε απλώς ένα αρχείο δέσμης διπλό κλικ, θα δούμε ότι το αρχείο lenses.txt παραμένει μέσα στην ίδια μορφή. Η λειτουργία "Controlled Folder Access" αντιμετώπισε το έργο της, αποτρέποντας την αντικατάσταση του εγγράφου από εντολή από άγνωστο άτομο εκτελέσιμο αρχείο. Σε αυτήν την περίπτωση, το κείμενο μπορεί εύκολα να ανοίξει και να επεξεργαστεί στο Σημειωματάριο και στη συνέχεια να αποθηκευτεί στο παλιό, και αυτό δεν θα δημιουργήσει ερωτήσεις. Το Σημειωματάριο είναι μια αξιόπιστη διαδικασία και η προστασία είναι διαφανής στον χρήστη.


Εάν θέλετε, μπορείτε να προσθέσετε εφαρμογή τρίτωνστη λίστα αξιόπιστων. Ναι, έχετε απόλυτο δίκιο όταν το αντιλαμβάνεστε αυτό ως δυνητικό διάνυσμα επίθεσης.


Εάν πρώτα κλιμακώσουμε τα προνόμια και εκτελέσουμε το ομαδικό μας αρχείο με δικαιώματα διαχειριστή, το αρχείο lenses.txt θα αντικατασταθεί αθόρυβα. Το Windows Defender δεν θα κουνηθεί και δεν θα αντικατοπτρίζει καν αυτό το συμβάν στο αρχείο καταγραφής. Δεν τον ενδιαφέρει αν ο διαχειριστής εξέδωσε μια εντολή ή κάποιο αριστερό αρχείο για λογαριασμό του διαχειριστή.


Έτσι, χρησιμοποιώντας (αυτο)αξιόπιστες διεργασίες ή με την πρώτη κλιμάκωση των προνομίων, οι Trojans ransomware θα μπορούν να παρακάμψουν τη νέα δυνατότητα Ελεγχόμενης πρόσβασης φακέλων που εισήχθη στα Windows 10 v. 1709. Επιπλέον, αυτό μπορεί να γίνει ακόμη και χρησιμοποιώντας μεθόδους από την εποχή του MS-DOS. Ζήτω η συμβατότητα!

συμπεράσματα
Η Exploit Guard αποδείχθηκε ότι ήταν της EMET νέο περιτύλιγμα, και ο "Έλεγχος πρόσβασης" είναι ένα προστατευτικό ημίμετρο. Θα βοηθήσει στη μείωση της ζημιάς που προκαλείται από ένα απλό ransomware που εκτελείται με δικαιώματα χρήστη. Εάν ο συντάκτης του επόμενου τυχαίου πολέμου χρησιμοποιεί τεχνικές κλιμάκωσης προνομίων ή είναι σε θέση να στείλει ένα αίτημα για αλλαγή αρχείων μέσω μιας αξιόπιστης διαδικασίας, τότε το νέο δυνατότητες των Windows 10 δεν θα αποθηκεύσει δεδομένα χρήστη. Μόνο τα τακτικά αντίγραφα ασφαλείας θα βοηθήσουν στην ελαχιστοποίηση των συνεπειών της μόλυνσης. Το κύριο πράγμα είναι ότι το Trojan δεν μπορεί να κρυπτογραφήσει και αντίγραφα ασφαλείας. Επομένως, είναι καλύτερα να τα αποθηκεύσετε σε μη εγγράψιμο (ή τουλάχιστον απενεργοποιημένο) εξωτερικά μέσακαι να έχετε ένα αντίγραφο στο cloud.

Το άρθρο ελήφθη από το xakep.ru



Προτείνουμε άλλα άρθρα
Τι να κάνετε για να αυξήσετε την αφοσίωση στο Instagram;
Τι να κάνετε για να αυξήσετε την αφοσίωση στο Instagram;
Νέες συναρτήσεις για εργασία με συμβολοσειρές Πώς να βρείτε εμφανίσεις μιας συμβολοσειράς στο 1c
Νέες συναρτήσεις για εργασία με συμβολοσειρές Πώς να βρείτε εμφανίσεις μιας συμβολοσειράς στο 1c
Συνεστραμμένο ζεύγος: μέθοδοι πτύχωσης, διάγραμμα σύνδεσης
Συνεστραμμένο ζεύγος: μέθοδοι πτύχωσης, διάγραμμα σύνδεσης