Optimalizované IT - portál pro IT pro komunitu

CryptoLocker - Jak předejít “útoku” pomocí technologií v operačním systému?

Vytisknout E-mail

CryptoLocker - Jak předejít “útoku” pomocí technologií v operačním systému? - 5.0 out of 5 based on 3 votes
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (3 Votes)

imageimageÚtočníci hledají nové cesty jak znemožnit uživatelům jejich život, jak získat nějaké jmění. V poslední době se internetem šíří hrozba pod názvem CryptoLocker. Výsledkem jeho činnosti jsou zašifrované soubory na lokálních / výměnných / síťových discích. Pokud nezaplatíte požadovanou částku, je smazán klíč použitý pro šifrování. Nepomůže změna data v BIOSu,… Projevem “infekce” je nemožnost otevřít běžně využívané soubory doc, .docx, .xls, .xlsx, .ppt, .pst, .dwg, .rtf, .dbf, .psd, .raw, .pdf a další. Přijít k tomuto viru je možné v současné době několika možnými způsoby:

1) otevřením přílohy v mailu a spuštěním obsahu přílohy.

2) přístupem na nakaženou webovou stránku.

3) v poslední době stažením a instalací nakaženého kodeku / video ovladače.

Tedy jak vidno, ono se o infekci nebo virus v pravém slova smyslu nejedná, stejně tak nejsou využívání žádné známé bezpečnostní chyby v operačním systému, vše je s “laskavým svolením” uživatele. V současné době neexistuje cesta jak navrátit zašifrované soubory do své nezašifrované podoby. Ochranou je prevence:

1) chodit tam a otevírat pouze to co vím, že je bezpečné

2) provádět offline zálohy

3) aktuální antivirové řešení

Nicméně je ještě jedna cesta, jak se tomuto napadení, resp. zašifrování souborů bránit - k dispozici již od Windows XP - Software Restriction Policies / AppLocker. Vycházejme z předpokladu, že škodlivý kód je spouštěn z EXE souboru, který dorazí emailem,… (co se situace týká, kdy škodlivý kód je “přibalen” k běžnému SW, pak toto řešení nepomůže, resp. pomůže, ale ovladač,.. nebude spuštěn jako celek). Je možné nadefinovat pravidla pro SRP / AppLocker následovně:

  • %localAppData%\*.exe - blokuje spouštění z C:\Users\%username%\AppData\Local
  • %localAppData%\*\*.exe - blokuje spouštění z C:\Users\%username%\AppData\Local\*
  • %Temp%\Rar*\*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí WinRAR
  • %Temp%\7z*\*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí 7zip
  • %Temp%\wz*\*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí WinZip
  • %Temp%\*.zip\*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí Windows Explorer
  • %localAppData%\Microsoft\Windows\INetCache\*.exe - blokuje spouštění souborů v IE temp
  • %localAppData%\Google\Chrome\User Data\Default\Cache\*.exe - blokuje spouštění souborů v Chrome temp (pozn. cache je v binární formě, je nepravděpodobné, že by se vyskytl přímo exe soubor)
  • %localAppData%\Mozilla\Firefox\Profiles\*.exe - blokuje spouštění souborů v FF temp (pozn. cache je v binární formě, je nepravděpodobné, že by se vyskytl přímo exe soubor)

Výsledek pak může vypadat např. takto:

image

Výhodou řešení je, že je snadno nasaditelné pomocí skupinových politik i v rámci organizací. Pokud bychom chtěli být ochráněni ještě lépe, je vhodné nasadit tzv. Application Whitelisting, tedy nastavit SRP/Applocker tak, aby umožňoval spouštět pouze vyjmenovaný software. Ostatně toto je preferovaná metoda NSA - více v dokumentu http://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SRP.pdf

O autorovi...
Ondřej Výšek
Author: Ondřej VýšekWebsite: www.kpcs.cz
Microsoft MVP

Přihlašovací formulář