Windows: Боремся с шифровальщиками с помощью AppLocker

Поскольку AppLocker не доступен на профессиональной версии Windows, то для защиты лучше использовать SRP.

Сотрудница бывшего коллеги словила на свой комп шифровальщик .vault (пост не мой).
Поскольку от вируса быстро избавились с помощью какого-то антивирусника (который почему-то сразу вирус не прибил), то шансов восстановить файлы не осталось.
Хотя удалось достать копию вложения с почтового сервера. Оказалось, что вирус представлял собой файл с расширением .js, который маскировал себя под «очень важный документ формата .docx», то есть это было вложение с именем «Акты приема передачи и товарно-транспортные накладные _ поставка согласно контракта от 2014 __аttасhmеnt_Dr.Wеb_Sсаnnеd_ОК.dосх .js». Если у пользователя отключено отображение расширений, то видно будет именно docx. Хотя большая часть пользователей на это никогда внимание не обращает.

Кому интересно изучить CMD-файл от этого вируса, оставляю ссылку на архив с ним (пароль 123456).

В связи с чем я и задумался о том, как можно «малой кровью» победить этот неприятный по своей деятельности вирус.

На Windows Seven и выше есть встроенный функционал для установления ограничений на запуск приложений — AppLocker.

Почему-то на Windows 10 Insider Preview функционал AppLocker не работает. Не работал, потому что версия Windows была не Enterprise редакции. Хотя стоит отметить, что работает он там странно. Например он не выводит уведомление о заблокированном приложении.

На Windows Seven включаю блокировку и все работает:
1. Запустить службу Application Identity («Удостоверение приложения»), выставить тип запуска в «Автоматически». Если при этом выдается ошибка «Access denied», то можно установить автоматический запуск службы через консоль:

sc config AppIDSvc start=auto

2. Запускаем gpedit.msc
3. Нам нужно Computer Configuration -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker -> Executable Rules (Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики управления приложениями -> AppLocker -> Исполняемые правила)
4. Нажимаем ПКМ и выбираем «Create New Rule…»
5. Permissions -> Deny -> Path -> «%SYSTEM32%\wscript.exe»
6. Также можно добавить правила на запрет запуска файлов
%SYSTEM32%\cscript.exe
%SYSTEM32%\cipher.exe
7. Если есть необходимость использовать эти файлы, то можно выставить запрет не всем, а например только пользователям.
8. Помимо запрета исполняемых файлов, можно создать политику на запуск скриптов (JS, PS1, VBS, CMD и BAT). Для этого нужно аналогичным способом из пункта 4 создать правила для скриптов или воспользоваться пунктом Create Default Rules. (Computer Configuration -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker -> Script Rules).
9. Для возможности установки новых программ, можно создать правило для учетной записи Администратора с правилом Path = "*". Таким образом только администратор сможет устанавливать программы из любой папки.

После применения этой политики все исполняемые файлы и скрипты, которые расположены не в папках из белого списка невозможно будет запустить даже через CMD. Этот метод поможет и против других шифровальщиков вроде xtbl и т.п.

Если ваша редакция Windows не поддерживает AppLocker, то можно просто выставить запрет на запуск этих файлов через NTFS или использовать Software Restriction Policies.

AppLocker разрешает запуск файлов ТОЛЬКО согласно правилам белого списка. Таким образом необходимо сгенерировать как минимум белый список разрешенных для запуска файлов (папок). Так например, чтобы можно было запускать файлы из проектов Visual Studio, нужно добавить правило с разрешением для этой папки:
AppLocker
А для того, чтобы работал конвертер в fb2, нужно разрешить запуск %OSDRIVE%\Users\Denis\AppData\Local\Temp\ooofbtools-tmp\base64.exe, C:\Users\Denis\AppData\Local\Temp\ooofbtools-tmp\uuidgen.exe и %OSDRIVE%\Users\Denis\AppData\Local\Temp\ooofbtools-tmp\fb2-valid-win32.vbs

Отключить службу AppLocker можно через реестр:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\AppIDSvc
Установить Start = 0x4