是否有人制定过“预防计划”来应对 Cryptolocker 和 Cryptowall 日益严重的问题?
目标:
在具有 DC 和 AD 的服务器上,对所有用户应用规则,并为每个用户设置脚本或手册,以防止在用户的 PC 上安装不需要的文件。
我正在看:http://www.foolishit.com/posts/cryptolocker-prevention/网站,但它不具备在服务器上同时供多个用户使用的能力,似乎他只有一个由每个单独的用户应用的脚本。
我希望能够在域中的用户目录上为每个用户部署规则。
答案1
您可以使用软件限制策略来阻止可执行文件位于该%AppData%文件夹或任何其他文件夹中时运行。
感染的文件路径为:
C:\Users\User\AppData\Roaming\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe(Vista/7/8)C:\Documents and Settings\User\Application Data\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe
因此,您要设置的路径规则基本上是一个新的 Windows 设置策略:
Path: %AppData%\*.exe
Security Level: Disallowed
Description: Don't allow executables from AppData.
来源:http://www.thirdtier.net/downloads/CryptolockerPreventionKit.zip
以上下载包含适用于 Win7/8 和 XP 的 GPO。
答案2
我想重复关于 Windows 设置策略的答案 1,但建议你在将其部署到广泛环境之前,对所有用户组进行积极测试。我的组织使用了完全相同的策略设置,但我们很快发现它阻止了我们自己的 IT 票务软件的更新和安装。因此,我们不得不创建例外,例如:
Path: %LocalAppData%\[path to installer]\[name of installer].exe
Security Level: Unrestricted.
事实证明,很多有效的、编写不佳的软件都大量使用了该%AppData文件夹,因此可能需要进行大量测试以避免给用户带来很大的麻烦。
答案3
你还需要保护自己,避免在 zip 文件和其他流行的归档程序中启动 exe。这些路径几乎可以捕获任何
%LocalAppData%\*\*.exe
%LocalAppData%\*.exe
%temp%\*\*.exe
%temp%\*.exe
%Userprofile%\*.exe
但请记住,这些不是递归的。例如:%temp%\aaa\aaa*.exe 仍将被执行。
另一种方法是锁定所有内容并仅解锁允许的内容。
这里有一些很好的起点资源: