keskiviikko 20. huhtikuuta 2016

Usealta kiristysohjelmalta voi välttyä tällä vinkillä

Usealta kiristysohjelmalta voi välttyä tällä vinkilläTietoturvayhtiö F-Securen blogista löytyy vinkki jonka avulla voi välttyä suurelta osaa ransomwarelta eli kiristysohjelmilta.

Ransomware on haittaohjelma joka salaa tietokoneen tiedostot ja vaatii salauksen purkamisesta rahaa, yleensä bitcoineja.

F-Securen blogiin ilmestyi Sean Sullivanilta ohje jolla ransomwaren pesiytymistä tietokoneelle voi joko kokonaan estää tai ainakin rajoittaa.

Kiristysohjelmat käyttävät yleensä Windows Script Host toimintoa joka on Windowsin skriptialusta, sitä käytetään tyypillisesti erilaisten hallintatoimintojen automatisointiin sekä sisäverkon kirjautumisiin. Tekniikka on vanha mutta joka on vielä varsin monessa yritystason verkossa käytössä.

Tämä vinkki sopii siis lähinnä tietokoneisiin jotka eivät kirjaudu yritysverkkoihin tai muihin sisäverkkoihin joista kirjautumisen yhteydessä ladataan skripti.

Sullivan kirjoittaa blogissa kuinka Windows Scrip host voidaan ottaa pois päältä, se tapahtuu seuraavasti:

  • Avaa reksiterieditori (regedit.exe)
  • Mene kohtaan: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
  • Luo uusi DWORD-arvo nimellä Enabled ja anna sille luku 0.
  • Paina OK ja sulje rekisterieditori.

Luo rekisteriin uusi DWORD-tietue Enabled ja lisää sen arvoksi 0.

Tämän asetuksen jälkeen aina kun Windows yrittää ladata skriptin Windows Script Hostin kautta, käyttäjä näkee virhesanoman joka kertoo ettei WSH ajamiselle ole oikeutta.

Virhesanoma kun WSH-skriptiä yritetään käynnistää

Vaihtoehtoisesti WSH:n voi poistaa käytöstä myös käyttäjäkohtaisesti tekemällä DWORD-lisäyksen HKEY_CURRENT_USER rekisteripuuhun.

LÄHDE: F-Secure