Kaspersky Internet Security 2011

 
 
 

Защита от Trojan-Ransom (WinLock) средством Контроль программ в Kaspersky Internet Security 2011

К разделу "Контроль программ"
2012 авг 27 ID: 4295
 
 
 
 

Целью действий программ-вымогателей класса Trojan-Ransom является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ класса Trojan-Ransom заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег киберпреступниками. 

Разблокировка зараженного компьютера

Если ваш компьютер уже заражен программой-вымогателем класса Trojan-Ransom, обратитесь в сервис деактивации вымогателей-блокеров.

Чтобы предотвратить возможное заражение программой-вымогателем класса Trojan-Ransom, воспользуйтесь рекомендациями по профилактике, описанными ниже. 

Рекомендации по предотвращению заражения компьютера

Очень важно предупредить заражение от вредоносных программ-вымогателей класса Trojan-Ransom. Для этого пользователи Kaspersky Internet Security 2011 могут использовать компонент Контроль программ. Компонент Контроль программ регистрирует действия программ, запущенных в системе, и регулирует их деятельность на основе правил. Эти правила регламентируют доступ программ к различным ресурсам системы. 

Для предупреждения заражения создайте правило, контролирующее активность программ при обращении к следующим ключам реестра:

Ключ 1: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Ключ 2: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

Ключ 3: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Ключ 4: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

Ключ 5: *\SOFTWARE\Policies\*

Ключ 6: *\SOFTWARE\Policies\*\

Ключ 7: *\SOFTWARE\Policies\*\*

Ключ 8: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

Ключ 9: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\

Ключ 10: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\*

Для создания правил выполните следующие действия:

Шаг 1. Откройте главное окно программы.

Шаг 2. В левой части окна перейдите на закладку Центр защиты.

Шаг 3. В правой верхней части окна нажмите на ссылку Настройка.

Шаг 4. В левой части окна Настройка выберите раздел Контроль программ.

Шаг 5. В правой части окна Настройка нажмите на кнопку Ресурсы...

Шаг 6. В окне Защита персональных данных на закладке Персональные данные выберите в списке меню категорию Все ресурсы.

Шаг 7. На закладке Персональные данные создайте новую категорию с названием "AntiWinLock". Для этого выполните следующие действия:

  1. В окне Защита персональных данных нажмите левой кнопкой мыши на ресурс Персональные данные.
  2. В верхней части окна Защита персональных данных нажмите на кнопку Добавить категорию.
  3. В окне Категория пользовательских ресурсов введите в пустое поле название категории "AntiWinLock".
  4. Нажмите на кнопку ОК.

Шаг 8. Для удобства сверните другие категории. Для этого нажмите левой кнопкой мыши на знак "-" возле каждой категории.

Шаг 9. Нажмите левой кнопкой мыши на категорию AntiWinLock.

Шаг 10. Добавьте в категорию AntiWinLock ресурсы, которые необходимо контролировать. Для этого выполните следующие действия:

  1. В левой верхней части окна Защита персональных данных нажмите на кнопку Добавить.
  2. Выберите в списке меню категорию "Ключ реестра".

  1. В окне Пользовательский ресурс введите название правила (название правила вводить не обязательно, так как при указании пути, который должен контролироваться компонентом Контроль программ, название правила поставится автоматически).
  2. Нажмите на кнопку Обзор, чтобы ввести путь, который должен контролироваться компонентом Контроль программ

  1. Далее выполните следующие действия:
    • В нижней части окна Выбор объекта в реестре введите следующее:
      • В поле ключ*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      • В поле значениеShell

      • Нажмите на кнопку ОК.
      • В окне Пользовательский ресурс нажмите на кнопку ОК.

    • Выполните те же действия со следующими девятью ресурсами:
      • 2: в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, в поле значение: AppInit_DLLs

        3: в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в поле значение: Userinit

        4: в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* (для этого ключа в поле значение вводить ничего не нужно. По умолчанию будет установлено значение: *)

        5: в поле ключ введите: *\SOFTWARE\Policies, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Values

        6: в поле ключ введите: *\SOFTWARE\Policies\*, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Keys

        7: в поле ключ введите: *\SOFTWARE\Policies\*, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Values.Sub

        8: в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, в поле значение введите: *, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Values

        9: в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Keys

        10: в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*, в поле значение введите: *, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Values.Sub

    • В результате выполненных действий в категории AntiWinLock будут добавлены и будут контролироваться компонентом Контроль программ в Kaspersky Internet Security 2011 десять ресурсов.

    • В окне Защита персональных данных нажмите на кнопку ОК.

Шаг 11. В правой части окна Настройка нажмите на кнопку Программы...

Шаг 12. В окне Программы нажмите левой кнопкой мыши на папку Слабые ограничения.

Шаг 13. В верхней левой части окна Программы нажмите на кнопку Изменить.

Шаг 14. В окне Правила для статусов программ перейдите на закладку Файлы и системный реестр.

Шаг 15. В конце списка ресурсов находится группа правил AntiWinLock.

Шаг 16. Для ресурса AntiWinLock заданы параметры настройки "Запросить действие" для операций "Удаление", "Чтение", "Запись", "Создание".

Шаг 17. Измените для операций "Удаление", "Чтение", "Запись", "Создание" свойство "Запросить действие" на свойство "Запретить". Для этого выполните следующие действия:

  1. Правой кнопкой мыши нажмите на значок действия для операций.
  2. Нажмите левой кнопкой мыши на свойство "Запретить".
  3. В окне Правила для статусов программ нажмите на кнопку ОК.

Шаг 18. Выполните вышеперечисленные действия с папкой Сильные ограничения.

Замечание

В папках Доверенные и Недоверенные параметры настроек для категории AntiWinLock менять не нужно.

Шаг 19. Запретите программам, не входящих в группу Доверенных, изменять параметры безопасности браузера Internet Explorer, зоны браузера Internet Explorer, параметры встроенного сетевого экрана и т. д. Для этого выполните следующие действия:

  1. В окне Программы нажмите левой кнопкой мыши на папку Слабые ограничения.
  2. В левой верхней части окна Программы нажмите на кнопку Изменить.

  1. В окне Правила для статусов программ перейдите на вкладку Файлы и системный реестр.
  • Для ресурса Параметры безопасности установлено свойство "Разрешить" для операции "Чтение", для операций "Запись", "Удаление", "Создание" установлено свойство "Запросить действие". Для операций "Чтение", "Запись", "Удаление", "Создание" задайте параметр настройки "Запретить". Для этого выполните следующие действия:
  • Правой кнопкой мыши нажмите на значок действия для операций.
  • Нажмите левой кнопкой мыши на свойство "Запретить".
  • В окне Правила для статусов программ нажмите на кнопку ОК.

Шаг 21. В окне Программы нажмите на кнопку ОК.

Шаг 22. В окне Настройка нажмите на кнопку ОК.

Шаг 23. Закройте главное окно программы.

ЗамечаниеВ результате выполненных действий будет установлен запрет на обращения к этим ключам реестра для программ, которые не входят в группу Доверенные. В случае возникновения какой-либо угрозы Kaspersky Internet Security 2011 заблокирует опасное действие и занесет это действие в отчет.

 
 
 
 
Помогла ли Вам предоставленная информация?
Да Нет
 
 
 

Информация из статьи применима к:

  • Kaspersky Internet Security 2011