Информация из статьи применима к программе Kaspersky Internet Security 2010
Целью действий программ-вымогателей класса Trojan-Ransom
является блокирование доступа пользователя к данным на компьютере или
ограничение возможностей работы на компьютере и требование выкупа за
возврат к исходному состоянию системы. Отличие вредоносных программ
класса Trojan-Ransom заключается в их изначальной
коммерческой направленности. Каждая программа этого поведения является
инструментом для получения денег киберпреступниками.
Разблокировка зараженного компьютера
В случае если ваш компьютер уже заражен программой-вымогателем класса Trojan-Ransom, обратитесь в сервис деактивации вымогателей-блокеров. Для того чтобы предотвратить возможное заражение программой-вымогателем класса Trojan-Ransom, воспользуйтесь рекомендациями по профилактике, описанными ниже.
Рекомендации по предотвращению заражения компьютера
Очень важно предупредить заражение от вредоносных программ-вымогателей класса Trojan-Ransom. Для этого пользователи Kaspersky Internet Security 2010 могут использовать компонент Контроль программ. Компонент Контроль программ
регистрирует действия программ, запущенных в системе, и регулирует их
деятельность на основе правил. Эти правила регламентируют доступ
программ к различным ресурсам системы.
Для предупреждения заражения создайте правило, контролирующее активность программ при обращении к следующим ключам реестра:
-
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell -
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit -
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* -
*\SOFTWARE\Policies\* -
*\SOFTWARE\Policies\*\ -
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\* -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\ -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\*
Для создания правил проделайте следующие действия:
-
в правой нижней части экрана дважды нажмите на иконку Kaspersky Internet Security 2010 -
в левой части главного окна программы перейдите на закладку Контроль программ -
в разделе Защита персональных данных нажмите на ссылку Настройка
-
для удобства сверните другие категории. Для этого нажмите левой кнопкой мыши на знак "-" возле каждой категории -
выберите категорию AntiWinLock. Для этого нажмите левой кнопкой мыши на категорию AntiWinLock
-
в окне Пользовательский ресурс введите
название правила (название правила вводить не обязательно, так как при
указании пути, который должен контролироваться компонентом Контроль программ, название правила поставится автоматически) -
введите путь, который должен контролироваться компонентом Контроль программ, нажав в окне Пользовательский ресурс кнопку Обзор
-
в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, в поле значение: AppInit_DLLs -
в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в поле значение: Userinit -
в поле ключ введите: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* (для этого ключа в поле значение вводить ничего не нужно. По умолчанию будет установлено значение: *) -
в поле ключ введите: *\SOFTWARE\Policies, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Values -
в поле ключ введите: *\SOFTWARE\Policies\*, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Keys -
в поле ключ введите: *\SOFTWARE\Policies\*, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: Winlock.Policies.Values.Sub -
в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Values -
в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Keys -
в поле ключ введите: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*, в поле значение: *, в окне Пользовательский ресурс в поле Название введите: SafeBoot.Values.Sub
-
в окне Правила для группы программ перейдите на вкладку Правила -
выберите в списке меню категорию "Файлы, системный реестр" -
в конце списка ресурсов находится группа правил AntiWinLock -
для ресурса AntiWinLock заданы параметры настройки "Запросить действие" для операций "Удаление", "Чтение", "Запись", "Создание"
-
поменяйте для операций "Удаление", "Чтение", "Запись", "Создание" параметр настройки "Запросить действие" на параметр "Запретить". Для этого проделайте следующие действия:
В папках Доверенные и Недоверенные параметры настроек для категории AntiWinLock менять не нужно.
- запретите программам, не входящих в группу Доверенных,
изменять параметры безопасности браузера Internet Explorer, зоны
браузера Internet Explorer, параметры встроенного сетевого экрана и т.д.
Для этого проделайте следующие действия:
В
результате выполненных действий будет установлен запрет на обращения к
этим ключам реестра для программ, которые не входят в группу Доверенные. В случае возникновения какой-либо угрозы Kaspersky Internet Security 2010 заблокирует опасное действие и занесет это действие в отчет.
|