Poniżej podaję sposób na zabezpieczenie systemu przed popularnymi coraz bardziej szyfratorami (cerber, cryptolocker itp), które szyfrują nasze cenne dane.
Są dwa sposoby:
1.
Zainstalować program WinAntiRansom Explorer
Program blokuje nieautoryzowane próby uruchomienia się plików wykonywalnych. Program jest płatny.
2.
Można wprowadzić odpowiednie zmiany do rejestru. Utowrzyć tzw. białą listę programów czyli programów które mogą być uruchamiane. Jest to na początku żmudna praca bo do rejestru trzeba dodać pliki exe danych programów. Można sobie utworzyć plik .reg i jednoklikem wprowadzić zmiany w rejestrze.
WAŻNE!!!
Na takiej liście koniecznie musi się znaleźć regedit.exe abyśmy mogli w razie czego dodać lub usunąć wpis
Jak to zrobić?
Poniżej podaję przykładowy plik .reg - wystarczy wyedytować nazwy plików .exe w cudzysłowiach i zapisać zmiany, a następnie zaimportować plik do rejestru.
Poniższe wklejamy do notatanika i zapisujemy jako "restriction.reg" - razem z cudzysłowiem:
- Kod: Zaznacz wszystko
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"RestrictRun"="1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"000"="cistray.exe"
"001"="NetSendGUI.exe"
"002"="AcroRd32.exe"
"003"="Howard.exe"
"004"="touchcursor.exe"
"005"="msimn.exe"
"006"="WINWORD.exe"
"007"="EXCEL.exe"
"008"="CDNXL.exe"
"009"="SanelApplications.exe"
"010"="regedit.exe"
"011"="cmd.exe"
"012"="SanelApplications.exe"
"014"="notepad.exe"
"015"="chomikbox.exe"
"016"="FreemakeVideoConverter.exe"
"017"="FreemakeVideoDownloader.exe"
"018"="CryptoPrevent.exe"
"019"="notepad++.exe"
"020"="procexp.exe"
"021"="winamp.exe"
"022"="firefox.exe"
"023"="TeamViewer.exe"
"024"="BlackBerryLink.exe"
"024"="audacity.exe"
"025"="launcher.exe"
"026"="opera.exe"
"027"="MEGAsync.exe"
"028"="UsbFix.exe"
"029"="FRST.exe"
"030"="FRST64.exe"
"031"="TweakingRegistryBackup.exe"
"032"="adwcleaner_5.115.exe"
"033"="JRT.exe"
"034"="FixExec.exe"
"035"="Autoruns.exe"
"036"="ComboFix.exe"
"037"="CintaNotes.exe"
"038"="delfix_1.013.exe"
"039"="WiseProgramUninstaller.exe"
"040"="Revouninstaller.exe"
"041"="Everything.exe"
"042"="DictWnd.exe"
"043"="OSFMount.exe"
"044"="soffice.exe"
"045"="BitTorrent.exe"
"046"="nvda_slave.exe"
"047"="nvda.exe"
"048"="nvda_noUIAccess.exe"
"049"="nvda_service.exe"
"050"="nvda_uiAccess.exe"
"051"="7z.exe"
"052"="7zFM.exe"
"053"="7zG.exe"
"054"="AcroRd32.exe"
"055"="AcroRd32Info.exe"
"056"="AcroTextExtractor.exe"
"057"="Eula.exe"
"058"="LogTransport2.exe"
"059"="PDFPrevHndlrShim.exe"
"060"="reader_sl.exe"
"061"="wow_helper.exe"
"062"="wtw.exe"
"063"="Vista Paint.exe"
"064"="pdfsam-starter.exe"
"065"="nazwy.exe"
"066"="cistray.exe"
"067"="TrueCrypt.exe"
"068"="TotalCommanderPortable.exe"
"069"="TOTALCMD.EXE"
"070"="FineReader.exe"
"071"="ABBYYFineReaderPortable.exe"
"072"="ScreenshotReaderPortable.exe"
"073"="ScanTwain.exe"
"074"="ScanWia.exe"
"075"="TrigrammsInstaller.exe"
"076"="PhotoshopCS5Portable.exe"
"077"="PhotoshopCS6Portable.exe"
"078"="explorer.exe"
"079"="Imienniczek.exe"
"080"="NeroPortable.exe"
"081"="TeraCopy.exe"
"082"="cmdagent.exe"
"083"="cmdinstall.exe"
"084"="cmdupd.exe"
"085"="cmdvirth.exe"
"086"="virtkiosk.exe"
"087"="bsm_chrome.exe"
"088"="cavscan.exe"
"089"="cavwp.exe"
"090"="cfpconfg.exe"
"091"="cisbf.exe"
"092"="cmdagent.exe"
"093"="mpc-hc.exe"
"094"="Everything-1.2.1.371.exe"
"095"="sndrec32.exe"
"096"="sndvol32.exe"
"097"="calc.exe"
"098"=""LaunchWebUI.exe"
System działa stabilnie, lista ta nie blokuje procesów systemowych i jego usług.
UWAGA!!!
Przed wykonaniem powyższego należy wykonać kopię rejestru.
Testowałem to na trzech plikach:
- invoice_scan_XuuVC7.docx.js
- rechnung_86442562327646.exe
- 74efa661fd34.exe
Uruchomiłem ręcznie pliki - zostaly zablokowane.
Jeśli uznamy, że biała lista jest dla nas zbyt uciążliwa wystarczy usunąć wpisy z rejestru.
UWAGA!!!
Usuwamy w kolejności jak podaję:
1.
Z lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer usuwamy wartość DWORD o nazwie RestrictRun
2.
Z lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer usuwamy klucz o nazwie RestrictRun
3.
Zamykamy edytor rejestru i uruchamiamy ponownie komputer.
Wszelkie blokady zostaly wyłaczone.
Autor postu otrzymał pochwałę
