有没有人针对Cryptolocker和Cryptowall日益增长的问题制定了“预防计划”?
目标:
在具有DC和AD的服务器上,为所有用户应用规则,为每个用户设置脚本或手动设置,以防止将不需要的文件安装在用户的PC上。
我在看: http : //www.foolishit.com/posts/cryptolocker-prevention/网站,但它没有能力一次在多个用户的服务器上使用它,似乎他只有一个脚本由每个用户应用。
我希望能够在域的用户目录中的每个用户上部署规则。
您可以使用软件限制策略阻止可执行文件位于%AppData%文件夹或任何其他文件夹中时运行。
感染的文件path是:
C:\Users\User\AppData\Roaming\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe (Vista / C:\Users\User\AppData\Roaming\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe ) C:\Documents and Settings\User\Application Data\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe
所以你想基本上设置的path规则是一个新的Windows设置策略:
Path: %AppData%\*.exe Security Level: Disallowed Description: Don't allow executables from AppData.
资料来源: http : //www.thirdtier.net/downloads/CryptolockerPreventionKit.zip
上面的下载包含了Win7 / 8和XP的GPO。
我想回答与Windows设置策略有关的答案#1,但是添加一个build议,即在广泛的环境中进行部署之前,对所有用户组进行积极testing。 我的组织使用了完全相同的策略设置,但很快我们发现它阻止了我们自己的IT票务软件的更新和安装。 因此,我们必须创build例外,例如:
Path: %LocalAppData%\[path to installer]\[name of installer].exe Security Level: Unrestricted.
事实certificate,很多有效的,写得不好的软件会大量使用%AppData文件夹,因此可能需要进行大量的testing以避免用户的头痛。
您还需要保护自己免于在zip文件和其他stream行的归档器中启动exes。 这些path几乎可以抓住任何东西
%LocalAppData%\*\*.exe %LocalAppData%\*.exe %temp%\*\*.exe %temp%\*.exe %Userprofile%\*.exe
但请记住,这些不是recursion的。 例如:%temp%\ aaa \ aaa * .exe仍然会被执行。
另一种方法是locking所有内容,并解锁只允许的内容。
这里有一些很好的起点资源: