Cryptolocker/Cryptowall GPO/SPO

Cryptolocker/Cryptowall GPO/SPO

是否有人制定过“预防计划”来应对 Cryptolocker 和 Cryptowall 日益严重的问题?

目标:

在具有 DC 和 AD 的服务器上,对所有用户应用规则,并为每个用户设置脚本或手册,以防止在用户的 PC 上安装不需要的文件。

我正在看:http://www.foolishit.com/posts/cryptolocker-prevention/网站,但它不具备在服务器上同时供多个用户使用的能力,似乎他只有一个由每个单独的用户应用的脚本。

我希望能够在域中的用户目录上为每个用户部署规则。

答案1

您可以使用软件限制策略来阻止可执行文件位于该%AppData%文件夹或任何其他文件夹中时运行。

感染的文件路径为:
C:\Users\User\AppData\Roaming\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe(Vista/7/8)C:\Documents and Settings\User\Application Data\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe

因此,您要设置的路径规则基本上是一个新的 Windows 设置策略:

Path: %AppData%\*.exe
Security Level: Disallowed
Description: Don't allow executables from AppData.

来源:http://www.thirdtier.net/downloads/CryptolockerPreventionKit.zip

以上下载包含适用于 Win7/8 和 XP 的 GPO。

答案2

我想重复关于 Windows 设置策略的答案 1,但建议你在将其部署到广泛环境之前,对所有用户组进行积极测试。我的组织使用了完全相同的策略设置,但我们很快发现它阻止了我们自己的 IT 票务软件的更新和安装。因此,我们不得不创建例外,例如:

Path: %LocalAppData%\[path to installer]\[name of installer].exe
Security Level: Unrestricted.

事实证明,很多有效的、编写不佳的软件都大量使用了该%AppData文件夹,因此可能需要进行大量测试以避免给用户带来很大的麻烦。

答案3

你还需要保护自己,避免在 zip 文件和其他流行的归档程序中启动 exe。这些路径几乎可以捕获任何

%LocalAppData%\*\*.exe
%LocalAppData%\*.exe
%temp%\*\*.exe
%temp%\*.exe
%Userprofile%\*.exe

但请记住,这些不是递归的。例如:%temp%\aaa\aaa*.exe 仍将被执行。

另一种方法是锁定所有内容并仅解锁允许的内容。

这里有一些很好的起点资源:

http://mechbgon.com/srp/

http://home.arcor.de/skanthak/SAFER.html

相关内容