Bảo vệ chống lại ransomware bằng FSRM trong Windows Server. Bảo vệ khỏi ransomware bằng FSRM trên Windows Server
Phần mềm độc hại ransomware mới WannaCry (còn có một số tên khác - WannaCry Decryptor, WannaCrypt, WCry và WanaCrypt0r 2.0) đã có mặt trên toàn thế giới vào ngày 12 tháng 5 năm 2017, khi các tập tin trên máy tính ở một số tổ chức chăm sóc sức khỏe ở Anh bị phát tán. được mã hóa. Mọi việc nhanh chóng trở nên rõ ràng, các công ty ở hàng chục quốc gia cũng rơi vào tình huống tương tự và Nga, Ukraine, Ấn Độ và Đài Loan là những nước chịu thiệt hại nặng nề nhất. Theo Kaspersky Lab, chỉ trong ngày đầu tiên của cuộc tấn công, virus đã được phát hiện ở 74 quốc gia.
Tại sao WannaCry nguy hiểm? Virus mã hóa nhiều loại tệp khác nhau (sử dụng phần mở rộng .WCRY, khiến các tệp hoàn toàn không thể đọc được) và sau đó yêu cầu khoản tiền chuộc là 600 USD để giải mã. Để đẩy nhanh thủ tục chuyển tiền, người dùng bị đe dọa bởi thực tế là sau ba ngày, số tiền chuộc sẽ tăng lên và sau bảy ngày, các tập tin sẽ không thể giải mã được nữa.
Máy tính chạy hệ điều hành Windows có nguy cơ bị nhiễm virus ransomware WannaCry. Nếu bạn sử dụng các phiên bản Windows được cấp phép và thường xuyên cập nhật hệ thống của mình, bạn không phải lo lắng về việc vi-rút xâm nhập vào hệ thống của mình theo cách này.
Người dùng MacOS, ChromeOS và Linux cũng như hệ điều hành di động iOS và Android hoàn toàn không nên lo sợ trước các cuộc tấn công của WannaCry.
Phải làm gì nếu bạn là nạn nhân của WannaCry?
Cơ quan Tội phạm Quốc gia (NCA) của Vương quốc Anh khuyến nghị các doanh nghiệp nhỏ từng là nạn nhân của ransomware và lo ngại về việc vi-rút lây lan trực tuyến nên thực hiện các hành động sau:
- Ngay lập tức cách ly máy tính, máy tính xách tay hoặc máy tính bảng của bạn khỏi mạng nội bộ/công ty của bạn. Tắt Wi-Fi.
- Thay đổi trình điều khiển.
- Nếu không kết nối với mạng Wi-Fi, hãy kết nối máy tính của bạn trực tiếp với Internet.
- Cập nhật hệ điều hành của bạn và tất cả các phần mềm khác.
- Cập nhật và chạy phần mềm chống vi-rút của bạn.
- Kết nối lại với mạng.
- Giám sát lưu lượng mạng và/hoặc chạy quét vi-rút để đảm bảo rằng phần mềm tống tiền đã biến mất.
Quan trọng!
Các tập tin bị mã hóa bởi virus WannaCry không ai có thể giải mã được ngoại trừ những kẻ tấn công. Vì vậy, đừng lãng phí thời gian và tiền bạc cho những “thiên tài CNTT” hứa hẹn sẽ cứu bạn khỏi cơn đau đầu này.
Có đáng để trả tiền cho những kẻ tấn công?
Những câu hỏi đầu tiên mà người dùng đặt ra khi đối mặt với virus ransomware WannaCry mới là: cách khôi phục tập tin và cách loại bỏ vi-rút. Không tìm được giải pháp miễn phí và hiệu quả, họ đứng trước sự lựa chọn: trả tiền cho kẻ tống tiền hay không? Vì người dùng thường có thứ gì đó để mất (tài liệu cá nhân và kho lưu trữ ảnh được lưu trữ trên máy tính), mong muốn giải quyết vấn đề bằng tiền thực sự nảy sinh.
Nhưng NCA đang thúc giục mạnh mẽ Khôngtrả tiền. Nếu bạn quyết định làm điều này, hãy ghi nhớ những điều sau:
- Đầu tiên, không có gì đảm bảo rằng bạn sẽ có quyền truy cập vào dữ liệu của mình.
- Thứ hai, máy tính của bạn có thể vẫn bị nhiễm virus ngay cả sau khi thanh toán.
- Thứ ba, rất có thể bạn sẽ chỉ đưa tiền của mình cho tội phạm mạng.
Làm thế nào để bảo vệ bạn khỏi WannaCry?
Vyacheslav Belashov, người đứng đầu bộ phận triển khai hệ thống bảo mật thông tin tại SKB Kontur, giải thích những hành động cần thực hiện để ngăn ngừa lây nhiễm vi-rút:
Điểm đặc biệt của virus WannaCry là nó có thể xâm nhập vào hệ thống mà không cần sự can thiệp của con người, không giống như các loại virus mã hóa khác. Trước đây, để vi-rút hoạt động, người dùng cần phải thiếu chú ý - nhấp vào một liên kết đáng ngờ từ một email thực sự không dành cho mình hoặc tải xuống một tệp đính kèm độc hại. Trong trường hợp của WannaCry, một lỗ hổng tồn tại trực tiếp trong chính hệ điều hành đã bị khai thác. Do đó, các máy tính chạy Windows không cài đặt bản cập nhật ngày 14 tháng 3 năm 2017 chủ yếu gặp rủi ro. Một máy trạm bị nhiễm trên mạng cục bộ là đủ để vi-rút lây lan sang những máy khác có lỗ hổng hiện có.
Người dùng bị ảnh hưởng bởi virus đương nhiên có một câu hỏi chính: làm thế nào để giải mã thông tin của họ? Thật không may, vẫn chưa có giải pháp đảm bảo nào và khó có thể đoán trước được. Ngay cả sau khi trả số tiền quy định, vấn đề vẫn không được giải quyết. Ngoài ra, tình hình có thể trở nên trầm trọng hơn khi một người, với hy vọng khôi phục dữ liệu của mình, có nguy cơ sử dụng các bộ giải mã được cho là "miễn phí", nhưng trên thực tế cũng là các tệp độc hại. Vì vậy, lời khuyên chính có thể được đưa ra là hãy cẩn thận và làm mọi cách có thể để tránh tình trạng như vậy.
Chính xác những gì có thể và nên làm vào lúc này:
1. Cài đặt các bản cập nhật mới nhất.
Điều này không chỉ áp dụng cho hệ điều hành mà còn áp dụng cho các công cụ bảo vệ chống vi-rút. Thông tin về việc cập nhật Windows có thể được tìm thấy ở đây.
2. Tạo bản sao lưu các thông tin quan trọng.
3. Hãy cẩn thận khi làm việc với thư tín và Internet.
Bạn cần chú ý đến những email đến có liên kết và tệp đính kèm đáng ngờ. Để làm việc với Internet, bạn nên sử dụng các plugin cho phép bạn loại bỏ các quảng cáo không cần thiết và liên kết đến các nguồn độc hại tiềm ẩn.
Một trong những cách chống virus ransomware là cấm đổi tên file. Nếu chúng tôi biết tệp sẽ nhận được tiện ích mở rộng nào sau khi mã hóa nó bằng vi-rút, thì chúng tôi có thể chỉ cần cấm tạo tệp bằng tiện ích mở rộng này. Chúng tôi cũng sẽ cấm tạo các tệp văn bản đã biết có chứa nhu cầu về ransomware, do đó sẽ giúp bảo vệ khỏi vi-rút không thay đổi phần mở rộng tệp trong quá trình mã hóa.
Cài đặt Trình quản lý tài nguyên máy chủ tệp và định cấu hình mẫu.
Trước tiên, hãy cài đặt vai trò “Trình quản lý tài nguyên máy chủ tệp”. Điều này có thể được thực hiện thông qua Trình quản lý máy chủ hoặc thông qua Quyền lực. Hãy xem xét lựa chọn thứ hai:
Cài đặt-WindowsFeature FS-Resource-Manager -Include ManagementTools
Sau khi cài đặt FSRM, hãy nhớ khởi động lại máy chủ.
Sau khi khởi động lại Bắt đầu -> Chạy -> fsrm.msc
Hãy tạo một nhóm Nhóm tệp chống ransomware và thêm một số tiện ích mở rộng mà chúng tôi muốn chặn.
Việc thêm mọi thứ theo cách thủ công mất nhiều thời gian, vì vậy chúng tôi tự động hóa quy trình. Chúng tôi sẽ lấy danh sách các tiện ích mở rộng bị cấm từ trang web https://fsrm.experiant.ca
Hãy tạo và chạy tập lệnh Powershell với tư cách quản trị viên.
$gr_name = "Nhóm tệp chống ransomware" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).content | chuyển đổi từ-json | % ($_.filters) set-FsrmFileGroup -name $gr_name -IncludePattern @($req)
Sau khi thực thi script, chúng ta kiểm tra nhóm Nhóm tệp chống ransomware, các phần mở rộng và tên tệp bị chặn sẽ xuất hiện trong đó.
Trong cài đặt mẫu, chọn một nhóm Nhóm tệp chống ransomware nhấn Được rồi. Ngoài ra, bạn có thể thiết lập cảnh báo qua email, nhập nhật ký hoặc khởi chạy tập lệnh hoặc chương trình dựa trên một sự kiện.
Cuối cùng, vào phần Bộ lọc chặn tệp.
Ở đây chúng tôi chỉ ra đường dẫn đến thư mục cần được bảo vệ và mẫu được sử dụng.
Kết quả là, khi bạn cố gắng thay đổi phần mở rộng tệp thành phần mở rộng có trong danh sách của chúng tôi Nhóm tệp chống ransomware chúng ta sẽ nhận được lệnh cấm ghi âm.
Chặn người dùng bị nhiễm bệnh.
Sau khi phát hiện thấy sự lây nhiễm, bạn cần thực hiện hành động chống lại nguồn gốc của mối đe dọa. Cần phải từ chối quyền truy cập vào thư mục dùng chung đối với người dùng đã bắt được ransomware trên máy tính của họ. Để làm điều này, chúng tôi sẽ đặt nó vào đĩa C:\ tài liệu SmbBlock.ps1 với nội dung sau:
Thông số($tên người dùng = “”) Get-SmbShare -Đặc biệt $false | ForEach-Object ( Block-SmbShareAccess -Name $_.Name -AccountName “$username” -Force )
Hãy quay trở lại Chặn các mẫu bộ lọc và chọn tab Đội.
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Command "& (C:\smbblock.ps1 -tên người dùng ‘’)"
Do việc thực thi tập lệnh, người dùng bị nhiễm sẽ nhận được lệnh cấm cá nhân vào thư mục.
Phương pháp bảo vệ này không phải là giải pháp tuyệt đối cho vấn đề này vì Những kẻ viết virus không đứng yên, nhưng với tư cách là một trong những thành phần bảo vệ toàn diện, nó khá có thể áp dụng được.
Mùa thu này, Windows 10 đã được cập nhật lên phiên bản 1709, có tên mã là Fall Creators Update hoặc Redstone 3. Trong số nhiều thay đổi, chúng tôi chủ yếu quan tâm đến việc cải thiện khả năng bảo vệ chống lại phần mềm độc hại không xác định. Microsoft đã thực hiện một số biện pháp để chống lại các Trojan ransomware và các hoạt động khai thác. Họ đã thành công như thế nào?Hậu vệ cũ mới
Mọi thứ mới đều là một cái cũ được đổi thương hiệu tốt. Trong “bản cập nhật mùa thu dành cho nhà thiết kế”, các thành phần bảo vệ tích hợp đã được kết hợp trong “Trung tâm bảo mật của Bộ bảo vệ Windows”. Ngay cả tường lửa phần mềm cũng bắt đầu được gọi là “Tường lửa của Bộ bảo vệ Windows”, nhưng những thay đổi này hoàn toàn mang tính thẩm mỹ. Những tính năng quan trọng hơn liên quan đến các tính năng mới mà chúng tôi sẽ xem xét chi tiết hơn bên dưới.Một thành phần cũ-mới khác được giới thiệu trong Redstone 3 được gọi là Bảo vệ khai thác. Windows Defender Exploit Guard, hay đơn giản là EG, được kích hoạt thông qua Trung tâm bảo mật của Windows Defender trong phần Kiểm soát ứng dụng và trình duyệt.
Về mặt kỹ thuật, Exploit Guard là Bộ công cụ trải nghiệm giảm nhẹ nâng cao trước đây với bộ tính năng được tăng cường một chút và giao diện mới. EMET có từ thời Windows Vista nhưng hiện đã ngừng hoạt động và Exploit Guard đã thay thế nó. Nó thuộc về Bảo vệ mối đe dọa nâng cao, cùng với Trình quản lý thiết bị được kết nối và Bảo vệ ứng dụng. Những cái lưỡi độc ác nói rằng ban đầu Microsoft muốn giới thiệu một thành phần chung là Advanced System Security Guard, nhưng cách viết tắt này hóa ra hoàn toàn trái ngược nhau.
Bảo vệ khai thác
Exploit Guard chỉ là một công cụ giảm thiểu rủi ro, nó không loại bỏ nhu cầu đóng các lỗ hổng trong phần mềm mà còn khiến chúng khó sử dụng hơn. Nhìn chung, nguyên tắc hoạt động của Exploit Guard là cấm những hoạt động mà phần mềm độc hại thường sử dụng nhất.Vấn đề là nhiều chương trình hợp pháp cũng sử dụng chúng. Hơn nữa, có những chương trình cũ (hay đúng hơn là thư viện động) sẽ ngừng hoạt động nếu chức năng kiểm soát bộ nhớ mới và các biện pháp bảo vệ hiện đại khác được kích hoạt trong Windows.
Vì vậy, việc thiết lập Exploit Guard cũng giống như sử dụng EMET trước đây. Trong trí nhớ của tôi, nhiều quản trị viên đã dành hàng tháng trời để tìm hiểu sự phức tạp của cài đặt và sau đó chỉ đơn giản là ngừng sử dụng các chức năng hạn chế do có nhiều khiếu nại của người dùng.
Nếu an toàn là trên hết và bạn cần siết chặt các vít thì các tính năng phổ biến nhất của Exploit Guard là (kể từ thời EMET) và vẫn như cũ:
Các lệnh có thể được chuyển qua PowerShell. Ví dụ: lệnh cấm tạo các tiến trình con trông như thế này:
- DEP(Ngăn chặn thực thi dữ liệu) - ngăn chặn việc thực thi dữ liệu. Không cho phép thực thi một đoạn mã nằm trong vùng bộ nhớ không dành cho mục đích này (ví dụ: do lỗi tràn ngăn xếp);
- tái phân bổ bộ nhớ ngẫu nhiên- ngăn chặn các cuộc tấn công vào các địa chỉ đã biết;
- vô hiệu hóa các điểm mở rộng- ngăn chặn việc tiêm DLL vào các tiến trình đang chạy (xem bài viết về cách vượt qua UAC, trong đó phương pháp này được sử dụng rộng rãi);
- Lệnh DisallowChildProcessCreation- cấm ứng dụng được chỉ định tạo các tiến trình con;
- lọc bảng địa chỉ nhập (IAF) và bảng địa chỉ xuất (EAF)- ngăn chặn một quá trình (độc hại) khỏi các bảng địa chỉ cưỡng bức và truy cập trang bộ nhớ của thư viện hệ thống;
- Kiểm tra người gọi- kiểm tra quyền gọi các API bí mật;
- SimExec- mô phỏng thực hiện. Kiểm tra trước khi thực thi mã thực tế đối tượng sẽ trả về lệnh gọi API nhạy cảm.
Set-ProcessMitigation -Tên file thực thi.exe
-Bật DisallowChildProcessCreation
Tất cả các bộ xử lý và chipset x86 trong mười năm qua đều hỗ trợ DEP ở cấp độ phần cứng và đối với những bộ xử lý rất cũ đã có sẵn phần mềm triển khai chức năng này. Tuy nhiên, để tương thích giữa các phiên bản Windows mới với phần mềm cũ hơn, Microsoft vẫn khuyến nghị kích hoạt DEP ở chế độ “chỉ xử lý hệ thống”. Vì lý do tương tự, có thể tắt DEP cho bất kỳ quy trình nào. Tất cả điều này đã được sử dụng thành công trong kỹ thuật bỏ qua DEP.Do đó, chỉ nên sử dụng Exploit Guard nếu có thể sử dụng một số chức năng bảo vệ cùng một lúc mà không gây ra lỗi, ít nhất là trong hoạt động của các ứng dụng chính. Trong thực tế điều này hiếm khi có thể thực hiện được. Dưới đây là ví dụ về cấu hình EG được chuyển đổi từ EMET, thường khiến Windows 10 gặp sự cố BSoD. Ngày xửa ngày xưa, Hacker có một phần “Xây dựng phương Tây” và Exploit Guard sẽ hoàn toàn phù hợp với phần đó.
Bảo vệ khỏi phần mềm tống tiền
“Tất cả các tập tin của bạn đã được mã hóa. Để giải mã chúng, hãy chuyển bitcoin đến địa chỉ được chỉ định,” - bạn có thể đã thấy một thông báo tương tự, nếu không phải trên máy tính của bạn thì trên máy tính để bàn của người khác.Ngày nay, ransomware là phân lớp chính của Trojan ransomware và Windows là nền tảng chính bị tấn công. Vì vậy, Microsoft đang cố gắng thực hiện các biện pháp bảo mật bổ sung. Vấn đề là ransomware không phải là một loại virus cổ điển và việc chống lại nó một cách hiệu quả đòi hỏi những cách tiếp cận cơ bản khác nhau. Hầu như bất kỳ phần mềm chống vi-rút nào cũng có thể bắt được một Trojan nổi tiếng bằng chữ ký của nó, nhưng việc bắt một con Trojan mới lại là một nhiệm vụ hoàn toàn khác.
Một cuộc tấn công phủ đầu của phần mềm chống vi-rút là rất khó, nếu chỉ vì Trojan ransomware sử dụng mật mã hợp pháp, giống như nhiều chương trình phổ biến. Thường không có dấu hiệu rõ ràng về hoạt động độc hại trong mã của họ, vì vậy các phương pháp phỏng đoán và các biện pháp phân tích không có chữ ký khác thường thất bại.
Việc tìm ra các dấu hiệu ransomware đặc biệt là vấn đề đau đầu đối với tất cả các nhà phát triển phần mềm chống vi-rút. Tất cả những gì họ có thể đưa ra cho đến nay là thay thế nhiệm vụ. Thay vì tìm kiếm ransomware, hãy tập trung vào mục tiêu chính của chúng và theo dõi nó. Nghĩa là, kiểm soát quyền truy cập vào các tệp và thư mục của người dùng, cũng như thường xuyên sao lưu chúng trong trường hợp bộ mã hóa lấy được chúng.
Như chúng tôi đã tìm ra ở một trong những bài viết trước, trên thực tế, đây không phải là một cách tiếp cận lý tưởng. Kiểm soát truy cập một lần nữa là sự cân bằng giữa bảo mật và tiện lợi, thiên về sự khó chịu. Về mặt khái niệm, tình huống cũng giống như khi sử dụng Exploit Guard: hoặc các quy tắc cấm được áp dụng đầy đủ nhưng làm việc trên máy tính trở nên có vấn đề hoặc các hạn chế được đặt chính thức nhằm duy trì khả năng tương thích với phần mềm cũ hơn và sự thuận tiện cho người dùng.
Kiểm soát truy cập tương tự đã xuất hiện từ lâu trong các phần mềm chống vi-rút của bên thứ ba, nhưng ở dạng hơi khác. Nó nhằm mục đích đảm bảo an toàn cho hệ thống chứ không phải nhằm phát hiện các mối đe dọa. Người ta cho rằng nếu phần mềm chống vi-rút bỏ sót phần mềm độc hại, các biện pháp kiểm soát bổ sung sẽ chỉ chặn những thay đổi không mong muốn trong thư mục \Windows\ và bộ tải khởi động.Mặc dù cách tiếp cận này về mặt nào đó vẫn phù hợp với các tệp hệ thống nhưng nó không dành cho các tệp người dùng. Không giống như thư mục hệ thống, có nội dung ít nhiều giống nhau trên các máy tính khác nhau, thư mục người dùng có thể chứa bất kỳ thứ gì. Ngoài ra, yêu cầu thay đổi tệp trong đó có thể đến từ bất kỳ chương trình nào. Thêm vào OLE này, khả năng của bất kỳ quy trình nào để gọi một quy trình khác và mở tệp thông qua nó, và bạn sẽ biết được nhà phát triển phần mềm chống vi-rút sẽ trông như thế nào.
Vì việc sửa đổi tệp người dùng không ảnh hưởng đến hoạt động của HĐH theo bất kỳ cách nào nên Windows không có tính năng bảo vệ tích hợp cho chúng. Mọi thứ đã thay đổi khi phát hành phiên bản cập nhật của Windows 10, trong đó Defender tích hợp sẵn bắt đầu giám sát tài liệu, ảnh và nội dung người dùng khác. Người ta tuyên bố rằng nó sẽ ngăn các tập tin bị thay thế bằng các phiên bản được mã hóa, tước đi lý do của các tác giả của Trojan để yêu cầu tiền chuộc.
Cuộc thí nghiệm
Để kiểm tra, chúng tôi quyết định tạo một thư mục kiểm tra C:\Docs\ với nhiều loại tài liệu khác nhau và thêm nó vào danh sách kiểm soát truy cập Windows Defender. Sau đó, chúng tôi đã khởi chạy một số Trojan ransomware và xem liệu Windows Defender có thể chống lại chúng hay không.
Trong thử nghiệm này, Windows Defender xử lý một số Trojan tốt hơn nhiều phần mềm chống vi-rút của bên thứ ba. Đơn giản là nó không cho phép sao chép bất kỳ mẫu nào từ ổ đĩa mạng, bao gồm nhiều sửa đổi khác nhau của WannaCry, Petya, TeslaCrypt, Jigsaw, Locky và Satana. Tất cả chúng đều tự động bị xóa, mặc dù phần mở rộng (.tst) và cách đóng gói bằng UPX đã thay đổi.
Thành phần Truy cập Thư mục được Kiểm soát mới là một phần của bảo vệ thời gian thực. Do đó, bạn sẽ không thể tắt tính năng quét nhanh chóng trong Windows Defender và thử nghiệm riêng tính năng mới. Bạn chỉ có thể vô hiệu hóa hoàn toàn tính năng bảo vệ thời gian thực nhưng khi đó kết quả sẽ có thể đoán trước được.
Chúng tôi đã mở rộng lựa chọn thử nghiệm phần mềm tống tiền để bao gồm các loại mới và ít được biết đến. Tuy nhiên, Windows Defender đã ngay lập tức xóa tất cả, không còn lựa chọn nào khác. Vì vậy, người ta quyết định tiến hành một thí nghiệm mẫu, viết... không, không! Ông đang nói gì vậy, ông công tố viên! Không phải Trojan mà là một chương trình đơn giản, vô hại. Đây là mã, chào mừng đến với những năm 90!@echo tắt
echo Mở thư mục `Docs`
cd C:\Docs\
thư mục
echo Nội dung gốc của tệp `lenses.txt` được liệt kê bên dưới:
hơn< lenses.txt
echo Thay đổi văn bản trong tập tin "lenses.txt"...
echo Dữ liệu tệp đã được thay thế bằng chuỗi này>lenses.txt
tiếng vang Xong!
hơn< lenses.txt
Bất kỳ phần mềm ransomware nào cũng thay thế các tệp của người dùng bằng các phiên bản được mã hóa của họ. Về cơ bản, chúng ta cần kiểm tra xem tính năng Controlled Folder Access chặn các hoạt động ghi đè tệp trong thư mục của người dùng như thế nào. Chương trình này chỉ thay thế nội dung của tệp trong thư mục đã chỉ định bằng dòng mà bạn chỉ định. Dấu > chuyển hướng đầu ra của bảng điều khiển sang một tệp, ghi đè hoàn toàn nó.Ưu điểm của tệp bó này là nó có vẻ đáng ngờ (một tệp thực thi có uy tín thấp) và phần mềm chống vi-rút chắc chắn không biết mã của nó. Nó chỉ được viết và không có thời gian để xuất hiện ở bất cứ đâu. Tệp lens.txt được chỉ định làm mục tiêu vì nội dung của nó được định dạng bằng các ký tự tab và được hiển thị rõ ràng trong bảng điều khiển bằng lệnh thêm trong một màn hình.
Sau khi khởi chạy, tệp bó sẽ hiển thị nội dung của thư mục C:\Docs\ và sau đó là tệp lens.txt. Nó cố gắng ghi đè lên nó bằng chuỗi Tệp dữ liệu đã được thay thế bằng chuỗi này và hiển thị lại nội dung của lens.txt để kiểm tra kết quả. Bản thân tệp bó được khởi chạy từ một thư mục khác - "Tải xuống", mô phỏng thói quen của người dùng thiếu kinh nghiệm (tải xuống bất kỳ thứ gì và nhấp vào mọi thứ).
Nếu chúng ta chỉ khởi chạy tệp bó bằng cách nhấp đúp, chúng ta sẽ thấy tệp lens.txt vẫn giữ nguyên. Tính năng Truy cập Thư mục được Kiểm soát đã thực hiện công việc của nó, ngăn tài liệu bị ghi đè bằng lệnh từ một tệp thực thi không xác định. Trong trường hợp này, văn bản có thể dễ dàng mở và chỉnh sửa trong Notepad, sau đó được lưu trên văn bản cũ và điều này sẽ không gây ra bất kỳ câu hỏi nào. Notepad là một quy trình đáng tin cậy và khả năng bảo vệ là minh bạch đối với người dùng.
Nếu muốn, bạn có thể thêm ứng dụng của bên thứ ba vào danh sách những ứng dụng đáng tin cậy. Đúng, bạn hoàn toàn đúng khi coi đây là một vectơ tấn công tiềm năng.
Nếu lần đầu tiên chúng tôi nâng cấp đặc quyền và chạy tệp bó của mình với quyền quản trị viên, thì tệp lens.txt sẽ bị ghi đè một cách lặng lẽ. Windows Defender sẽ không nhúc nhích và thậm chí sẽ không phản ánh sự kiện này trong nhật ký. Anh ta không quan tâm liệu quản trị viên có đưa ra lệnh hay một số tập tin được để lại thay mặt cho quản trị viên hay không.
Do đó, bằng cách sử dụng các quy trình (tự) đáng tin cậy hoặc bằng các đặc quyền leo thang lần đầu, Trojan ransomware sẽ có thể vượt qua tính năng Truy cập thư mục được kiểm soát mới được giới thiệu trong Windows 10 v. 1709. Hơn nữa, điều này có thể được thực hiện ngay cả khi sử dụng các phương pháp từ thời MS-DOS. Khả năng tương thích sống lâu!kết luận
Exploit Guard hóa ra là EMET trong một trình bao bọc mới và “Kiểm soát truy cập” là một biện pháp bảo vệ nửa vời. Nó sẽ giúp giảm thiểu thiệt hại do ransomware đơn giản chạy bằng quyền người dùng gây ra. Nếu tác giả của ransomware tiếp theo sử dụng kỹ thuật leo thang đặc quyền hoặc có thể gửi yêu cầu thay đổi tệp thông qua một quy trình đáng tin cậy thì các tính năng mới của Windows 10 sẽ không lưu dữ liệu của người dùng. Chỉ sao lưu thường xuyên mới giúp giảm thiểu hậu quả của việc lây nhiễm. Điều chính là Trojan không thể mã hóa các bản sao lưu. Vì vậy, tốt hơn hết bạn nên lưu trữ chúng trên thiết bị lưu trữ bên ngoài không thể ghi (hoặc ít nhất là có thể ngắt kết nối) và có một bản sao trên đám mây.Bài viết lấy từ xakep.ru
Bài viết này được chuẩn bị liên quan đến một cuộc tấn công lớn của hacker trên quy mô toàn cầu, điều này cũng có thể ảnh hưởng đến bạn. Hậu quả trở nên thực sự nghiêm trọng. Dưới đây bạn sẽ tìm thấy mô tả ngắn gọn về vấn đề và mô tả các biện pháp chính cần được thực hiện để bảo vệ khỏi dòng virus ransomware WannaCry.
Mã độc tống tiền WannaCry khai thác lỗ hổng Microsoft Windows MS17-010để thực thi mã độc và chạy ransomware trên các PC dễ bị tấn công, sau đó vi-rút đề nghị trả cho những kẻ tấn công khoảng 300 USD để giải mã dữ liệu. Virus này đã lây lan rộng rãi trên toàn thế giới, nhận được sự đưa tin tích cực trên các phương tiện truyền thông - Fontanka.ru, Gazeta.ru, RBC.
Lỗ hổng này ảnh hưởng đến PC có hệ điều hành Windows được cài đặt từ XP đến Windows 10 và Server 2016; bạn có thể đọc thông tin chính thức về lỗ hổng từ Microsoft và.
Lỗ hổng này thuộc lớp Thực thi mã từ xa, có nghĩa là việc lây nhiễm có thể được thực hiện từ một PC đã bị nhiễm thông qua mạng có mức độ bảo mật thấp mà không có phân đoạn ME - mạng cục bộ, mạng công cộng, mạng khách, cũng như bằng cách khởi chạy phần mềm độc hại nhận được qua thư hoặc dưới dạng liên kết.
Các biện pháp an ninh
Những biện pháp nào cần được xác định là hiệu quả để chống lại loại virus này:
- Đảm bảo bạn đã cài đặt bản cập nhật Microsoft Windows mới nhất để loại bỏ lỗ hổng MS17-010. Bạn có thể tìm thấy các liên kết đến các bản cập nhật và cũng lưu ý rằng do mức độ nghiêm trọng chưa từng có của lỗ hổng này, các bản cập nhật cho hệ điều hành không được hỗ trợ (windowsXP, máy chủ 2003, máy chủ 2008) đã được phát hành vào ngày 13 tháng 5, bạn có thể tải xuống.
- Khi sử dụng các giải pháp bảo mật mạng lớp IPS, hãy đảm bảo rằng bạn đã cài đặt các bản cập nhật bao gồm tính năng phát hiện và giảm thiểu lỗ hổng mạng. Lỗ hổng này được mô tả trong cơ sở kiến thức Check Point; nó có trong bản cập nhật IPS ngày 14 tháng 3 năm 2017, Thực thi mã từ xa Microsoft Windows SMB (MS17-010: CVE-2017-0143). Chúng tôi cũng khuyên bạn nên thiết lập quét lưu lượng truy cập nội bộ trên các phân đoạn mạng quan trọng bằng IPS, ít nhất là trong thời gian ngắn, cho đến khi khả năng lây nhiễm giảm đi.
- Do khả năng xảy ra những thay đổi trong mã vi-rút, chúng tôi khuyên bạn nên kích hoạt hệ thống AntiBot&Antivirus và mô phỏng việc khởi chạy các tệp đến từ các nguồn bên ngoài qua thư hoặc Internet. Nếu bạn là người dùng Cổng bảo mật Check Point thì hệ thống này là Mô phỏng mối đe dọa. Đặc biệt đối với những công ty không có đăng ký này, chúng tôi cung cấp đăng ký nhanh trong thời gian dùng thử 30 ngày. Để yêu cầu khóa kích hoạt đăng ký đầy đủ tính năng cho cổng Check Point của bạn, hãy viết thư tới [email được bảo vệ] Bạn có thể đọc thêm về hệ thống mô phỏng tập tin và.
Thậm chí còn có nhiều đề xuất hơn và một ví dụ về báo cáo về việc ngăn chặn hoạt động của ransomware Wannacry.
Các đồng nghiệp thân mến, dựa trên kinh nghiệm làm việc với các cuộc tấn công lớn trước đây, chẳng hạn như Heart Bleed, lỗ hổng Microsoft Windows MS17-010 sẽ bị khai thác tích cực trong 30-40 ngày tới, đừng trì hoãn các biện pháp đối phó! Để đề phòng, hãy kiểm tra hoạt động của hệ thống BackUp của bạn.
Rủi ro thực sự lớn!
CẬP NHẬT. Vào thứ Năm, ngày 18 tháng 5, lúc 10:00 giờ Moscow, chúng tôi mời bạn tham gia hội thảo trực tuyến về ransomware và các phương pháp bảo vệ.
Hội thảo trực tuyến được thực hiện bởi TS Solution và Sergey Nevstruev, Giám đốc bán hàng phòng chống mối đe dọa điểm kiểm tra Đông Âu.
Chúng tôi sẽ đề cập đến các câu hỏi sau:
- #cuộc tấn công WannaCry
- Phạm vi và hiện trạng
- Đặc điểm
- Yếu tố khối lượng
Làm thế nào để đi trước một bước và ngủ yên
- IPS+AM
- SandBlast: Mô phỏng mối đe dọa và khai thác mối đe dọa
- Tác nhân SandBlast: Chống ransomware
- Đặc vụ SandBlast: Pháp y
- Tác nhân SandBlast: Anti-Bot
