x

Давайте мы вам перезвоним!

Оставьте свой номер и мы перезвоним в течении нескольких минут

ФИО

Номер телефона

В какое время вам перезвонить ?

Безопасность
👁427
18.04.2018

Рекомендации по защите от шифровальщика ExPetr

Локальная и удаленная настройка от "Лаборатории Касперского" для защиты от ExPetr

Удаленная настройка через Kaspersky Security Center

  1. Откройте Kaspersky Security Center.
  2. Перейдите в Управляемые компьютеры → Политики.

common_13753_01

  1. Откройте активную политику для Kaspersky Endpoint Security и перейдите в Контроль активности программ. Нажмите на кнопку Настройка.

common_13753_02

  1. Выделите узел Персональные данные, нажмите на кнопку Добавить и выберите пункт Категорию.

common_13753_03

  1. Введите имя категории ExPetr и нажмите ОК.

common_13753_04

  1. Выделите созданную категорию, нажмите на кнопку Добавить и выберите пункт Файл или папку.

common_13753_05

В появившемся диалоговом окне введите имя файла в поле Название, нажмите кнопку Обзор и в поле Объект введите путь к файлу.

  1. Добавьте следующие файлы:
    • %windir%\dllhost.dat
    • %windir%\psexesvc.exe
    • %windir%\perfc.dat
    • %appdata%\perfc.dat
    • %appdata%\dllhost.dat
    • *\psexec.exe
    • *\psexec64.exe
  2. Настройте для категории ExPetr правила доступа для программ из всех групп, выставив запрет на Чтение, Запись, Удаление и Создание.

Для Доверенных программ необходимо разрешить Удаление

common_13753_06 

  1. Настройте для категории ExPetr запись всех событий в отчет.

common_13753_07

  1. Перейдите в Оповещение о событиях → Информационное сообщение. Откройте свойства Сработало правило Контроля активности программ.

common_13753_08

  1. Установите флажок На Сервере администрирования в течение (сут). Если необходимо, настройте отправку этих событий на электронную почту.

common_13753_09

  1. Сохраните политику.

На сервере может регистрироваться много событий, которые удалят устаревшие по мере заполнения базы данных Kaspersky Security Center.

После этих настроек у вас будет возможность следить за запуском указанных файлов. Если на каком-либо компьютере будет запущен файл, в Kaspersky Security Center будет зарегистрировано событие:

common_13753_10


Локальная настройка

  1. Откройте Kaspersky Endpoint Security 10 для Windows.
  2. На вкладке Настройка выберите Контроль активности программ и нажмите на кнопку Ресурсы.

common_13753_11

  1. Выделите узел Персональные данные, нажмите на кнопку Добавить и выберите пункт Категорию.

common_13753_12

  1. Введите имя категории ExPetr и нажмите ОК.

common_13753_13

  1. Выделите созданную категорию, нажмите на кнопку Добавить и выберите пункт Файл или папку.

common_13753_14

В появившемся диалоговом окне введите имя файла в поле Название, затем нажмите кнопку Обзор и в поле Объектвведите путь к файлу.

  1. Добавьте следующие файлы:
    • %windir%\dllhost.dat
    • %windir%\psexesvc.exe
    • %windir%\perfc.dat
    • %appdata%\perfc.dat
    • %appdata%\dllhost.dat
    • *\psexec.exe
    • *\psexec64.exe

При локальной настройке необходимо, чтобы файлы присутствовали в системе. Создайте пустые файлы с этими именами, если их нет.

  1. Настройте для категории ExPetr правила доступа для программ из всех групп, выставив запрет на Чтение, Запись, Удаление и Создание.

Для Доверенных программ необходимо разрешить Удаление.

common_13753_15




 

 

Если вы не используете продукты «Лаборатории Касперского», мы рекомендуем запретить исполнение указанных ранее файлов и утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.