Блокираща защита без подпис

Опции на темата
Търсене по тема
Дисплей
  • изглед на линия
  • Комбиниран изглед
  • дървовиден изглед

Блокираща защита без подпис

И така, много, много хора наскоро са се сблъсквали с троянски коне с рансъмуер, вероятно всички ли вече са чували за тях? Най-важният въпрос, свързан с тях, е „Как да се предпазим?“, което е съвсем логично.

По правило антивирусните решения предотвратяват заразяване и блокиране на системата чрез анализ на сигнатури. Това е добре, но има и недостатък: за да се получи сигнатура на зловреден софтуер, е необходимо пробата (тялото) на зловреден софтуер да попадне в антивирусната лаборатория и тук се крие този недостатък, че може да мине много време от началото на активността на зловреден софтуер, докато той влезе в лабораторията за вируси. В този случай ние сме призовани да спасим всички видове инструменти за откриване без подпис (HIPS, KSN, PDM, SandBox, в края на краищата, когато го използваме), но трябва да бъдем разумните осигуряват допълнителен процент защита, но това е далеч от 100%.Заключението се налага, нашата антивирусна програма не може да ни защити? Каквото и да е, нашата антивирусна програма може всичко, просто се нуждае от малко помощ

На тази интригуваща бележка завършвам уводната си част и преминавам към представянето на метода за защита без подпис срещу блокиращи троянски коне, описан за първи път от Дмитрий Мячин, тестов инженер в Kaspersky Lab. Всичко написано по-долу работи с Kaspersky Internet Security 2010 и 2011, ако имате по-ранна версия на продукта, препоръчвам да преминете към нова.[cut=Прочетете повече и научете как да се предпазите от ransomware троянски коне »]

Част 1.Започваме, като отидем в главния прозорец на антивирусната програма, отидете на настройките, разделаБутон „Контрол на приложението“ „Ресурси“ (в KIS 2010: „Настройки“). Ще се отвори прозорец:

  • Натиснете бутона "Преглед" и в реда "ключ" посочете:

  • След 2 пъти щракнете върху "OK".
Сега повторете стъпки 1,2,3 още 9 пъти с данни:
  1. В полето „Ключ“: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В полето „Стойност“: AppInit_DLLs
  2. В полето "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В полето "Стойност": Userinit
  3. В полето "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
  4. В полето "Ключ": *\SOFTWARE\Policies В полето "Стойност": *
  5. В полето "Ключ": *\SOFTWARE\Policies\*
  6. В полето "Ключ": *\SOFTWARE\Policies\* В полето "Стойност": *
  7. В полето "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot В полето "Стойност": *
  8. В полето "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
  9. В полето "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Control\SafeBoot\* В полето "Стойност": *
След това прозорецът с настройки трябва да изглежда така:

Щракнете върху „OK“ и „Apply“.

Забележка:Горните ключове в системния регистър отговарят за зареждането на системата, безопасния режим и разрешенията за приложения.

Част 2.Сега трябва да попречим на зловредния софтуер да работи с настройките на системния регистър, които посочихме по-горе. Модулът за контрол на приложенията на Kaspersky Internet Security (известен още като HIPS) класифицира всички приложения в 4 групи: „Доверени“, „Слаби ограничения“, „Силни ограничения“, „Ненадеждни“. Зловредният софтуер не може да влезе в „Доверените“, но всичко е в „Ненадеждните“ще бъде забранено, така че трябва да конфигурирате „Слаби ограничения“ и „Силни ограничения“.

Също така незабавно ще забраним промяната на „Настройки за сигурност“, т.е.

  • Настройки за сигурност на Internet Explorer
  • Зони на Internet Explorer
  • Опции за вградена защитна стена
  • Клон на политиката
  • . И така нататък

Натиснете бутона "Програми" (в KIS 2010, бутона "Настройка на правила") Появява се прозорец:

След това, подобно на „Слаби ограничения“, настройте „Силни ограничения“.

Всъщност сега сме защитени от троянски коне за откуп, за което ви поздравявам

Инструкция за конфигуратор за автоматични настройки:

1. Изключете самозащитата на продукта:

2. Разтоварете продукта, като използвате бутона "Изход" 3. Стартирайте конфигуратора. 4. Включете KIS и самозащита. 5. Продължете с инструкциите от част 2.

P.S. Преди да публикувам тази публикация, дадох текста наПетя Волковза четене, той отбеляза, че е възможно да не се отказват правата за четене на групите "Слаби ограничения" и "Силни ограничения", съгласен съм с него, но мисля, че: