A día de hoy creo que ni mucho menos ha pasado desapercibido el problema que ha causado un malware llamado CrytpoLocker (https://es.wikipedia.org/wiki/CryptoLocker). He visto algunos artículos muy interesantes en donde explican que debemos hacer para "evitar" en la medida de lo posible este temido malware, el cual ha causado estragos en muchas empresas. Voy a tratar de explicar como podéis configurar una Directiva de Grupo aplicando las Directivas de Restricción de Software, la cual utilizaremos para "evitar" la ejecución de aplicaciones no permitidas (CryptoLocker entre ellas) en zonas de seguridad en los perfiles de usuarios. Lo primero que haremos será crear una Directiva de Grupo la cual vincularemos la OU en donde tengamos los equipos que tenemos en nuestro dominio. Lo que tenemos que hacer es evitar la ejecución de aplicaciones desde las siguientes zonas que os expongo:
Ruta: %AppData%\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde %AppData%
Ruta: %AppData%\*\*.exe
Nivel de Seguridad: No Permitido
Descripción: DBloquear la ejecución de aplicaciones desde %AppData% y subcarpetas
Nivel de Seguridad: No Permitido
Descripción: DBloquear la ejecución de aplicaciones desde %AppData% y subcarpetas
Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinRar
Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinRar
Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con 7Zip
Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con 7Zip
Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinZip
Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinZip
Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con Windows Zip
Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con Windows Zip
Dicho esto, vamos a editar la Directiva de Grupo y nos vamos a la sección de Configuración del Equipo – Configuración de Windows – Configuración de Seguridad y pulsamos con el botón secundario encima de Directivas de Restricción de Software para pulsar en Nuevas directivas de restricción de software
Ahora en la sección de Reglas Adicionales debemos hacer clic con el botón secundario del ratón y pulsar en Relga de nueva ruta de acceso …
Y ahora debemos introducir las rutas una a una que he expuesto anteriormente, y en base a los sistemas operativos que tengáis en el dominio debéis crear las distintas reglas para Windows XP (SP2), Windows7/8/10. Yo sólo me centraré en las de Windows 7 y superiores, así que las imágenes solo representarán las configuraciones para estos Sistemas Operativos (espero que nadie tenga ya Windows XP en su dominio)
Descripción: Bloquear la ejecución de aplicaciones desde %AppData%
Ruta: %AppData%\*.exe
Nivel de Seguridad: No Permitido
Nivel de Seguridad: No Permitido
Descripción: DBloquear la ejecución de aplicaciones desde %AppData% y subcarpetas
Ruta: %AppData%\*\*.exe
Nivel de Seguridad: No Permitido
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinRar
Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Nivel de Seguridad: No Permitido
Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con 7Zip
Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Nivel de Seguridad: No Permitido
Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con WinZip
Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Nivel de Seguridad: No Permitido
Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Nivel de Seguridad: No Permitido
Descripción: Bloquear la ejecución de aplicaciones desde ficheros descomprimidos con Windows Zip
Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Nivel de Seguridad: No Permitido
Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Nivel de Seguridad: No Permitido
Estas configuraciones se establecen como valores en la siguiente clave de registro de los equipos: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths, cada una de las subclaves son las rutas que hemos definido a nivel de la Directiva de Grupo:
Pues ahora sólo nos tocar probar que funciona bien, para ello voy a realizar dos pruebas sencillas:
1. Intentar ejecutar el TeamViewer en %Appdata%
Cada vez que se evite la ejecución de una aplicación dentro de cualquier carpeta dentro de %AppData%\*\*.exe nos dejará un eventod con el ID 886
2. Intentar ejecutar el TeamViewer dentro de un fichero RAR: aquí os muestro el fichero .RAR el error que muestra y la ruta en donde se ha descomprimido para ejecutarse (%LocalAppData%\Temp\Rar*\*.exe)
Si volvemos a revisar el Visor de Eventos, tendremos otro ID 886 y la información del evento:
Con esto ya tenemos algo de camino recorrido, pero aún así creo que deberíamos también proteger más directorios porque sino al final el usuario podrá lanzar ejecutables en cualquier otra ruta de su perfil:
- %localAppData%
- %userprofile%\appdata\LocalLow
Si bien es cierto que logramos "cierta seguridad", también es igual de cierto que estamos evitando que otras muchas aplicaciones legítimas se puedan ejecutar desde alguna de las ubicaciones del perfil del usuario. Para ello, debemos añadir las rutas legítimas al igual que hemos hecho con las que hemos bloqueado. Buscando un poco por internet he encontrado esta lista de rutas que son de aplicaciones legítimas (Adobe, Java, etc..):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{01d5f53f-211b-4752-b566-b7da678ce4e7}]
"LastModified"=hex(b):b3,13,3c,fe,e3,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,35,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):b3,13,3c,fe,e3,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,35,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{0671b2d9-593f-4967-b6ca-fdc4ae53e3cc}]
"LastModified"=hex(b):8f,54,b7,f7,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,39,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):8f,54,b7,f7,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,39,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{131ba471-b59a-4142-b9df-da8ec68e5a77}]
"LastModified"=hex(b):d3,8a,d6,04,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,36,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):d3,8a,d6,04,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,36,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{18eeabc8-5831-4ade-a899-0853e763b638}]
"LastModified"=hex(b):88,b0,9e,1c,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,39,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):88,b0,9e,1c,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,39,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{3765e50f-ae33-45a8-9f7c-12ccdb95ec68}]
"LastModified"=hex(b):e8,e6,92,cd,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,35,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):e8,e6,92,cd,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,35,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{3f6dee77-c701-48b2-8d5e-36ce2d84fadc}]
"LastModified"=hex(b):e5,b7,62,24,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,36,00,30,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):e5,b7,62,24,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,36,00,30,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{45a9d349-78dc-4e85-8498-91b4ea6db8c8}]
"LastModified"=hex(b):65,9d,47,15,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,38,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):65,9d,47,15,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,38,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{55c67795-adc4-43d8-b2ee-a10876b38d00}]
"LastModified"=hex(b):7e,c0,73,da,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,36,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):7e,c0,73,da,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,36,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{56cd4e55-d82e-46e2-9e49-eb563616abe4}]
"LastModified"=hex(b):55,87,aa,12,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,32,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):55,87,aa,12,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,32,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{66ce3ec0-b8fb-45bc-8aaa-5315697121cf}]
"LastModified"=hex(b):24,50,e8,ff,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,30,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):24,50,e8,ff,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,30,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{72cc4a35-bc4c-4a56-9521-b8dc88296eb2}]
"LastModified"=hex(b):6f,83,63,62,e4,d0,ce,01
"Description"="Spotify exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,25,00,5c,00,\
53,00,70,00,6f,00,74,00,69,00,66,00,79,00,5c,00,73,00,70,00,6f,00,74,00,69,\
00,66,00,79,00,2e,00,65,00,78,00,65,00,00,00
"LastModified"=hex(b):6f,83,63,62,e4,d0,ce,01
"Description"="Spotify exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,25,00,5c,00,\
53,00,70,00,6f,00,74,00,69,00,66,00,79,00,5c,00,73,00,70,00,6f,00,74,00,69,\
00,66,00,79,00,2e,00,65,00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{80b78737-b5bc-435d-99f2-0e72a0089350}]
"LastModified"=hex(b):94,27,c3,0b,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,31,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):94,27,c3,0b,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,31,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{9003f67f-c01d-4cc6-96d9-e32465d29ec0}]
"LastModified"=hex(b):1e,d4,20,19,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,33,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):1e,d4,20,19,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,33,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{cc9cef1c-e950-4c38-ae69-c588dcd33a15}]
"LastModified"=hex(b):02,95,83,ec,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,38,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):02,95,83,ec,e1,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,38,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{ce4603aa-0db5-4a98-931d-609f913490ed}]
"LastModified"=hex(b):0a,dc,76,34,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,37,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):0a,dc,76,34,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,34,00,37,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{cec6609e-86f1-4060-90c9-dcd452d4fde2}]
"LastModified"=hex(b):04,cc,4e,27,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,34,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):04,cc,4e,27,e2,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,34,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\262144\Paths\{e67a6085-83bb-4d42-a385-616492f8452c}]
"LastModified"=hex(b):06,b4,4f,0d,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,37,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
"LastModified"=hex(b):06,b4,4f,0d,e4,d0,ce,01
"Description"="Java auto-update exception."
"SaferFlags"=dword:00000000
"ItemData"=hex(2):25,00,6c,00,6f,00,63,00,61,00,6c,00,41,00,70,00,70,00,44,00,\
61,00,74,00,61,00,25,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,6a,00,72,00,65,\
00,2d,00,37,00,75,00,35,00,37,00,2d,00,77,00,69,00,6e,00,64,00,6f,00,77,00,\
73,00,2d,00,69,00,35,00,38,00,36,00,2d,00,69,00,66,00,74,00,77,00,2e,00,65,\
00,78,00,65,00,00,00
Simplemente debéis copiar estas rutas en un fichero de texto y guardarlo con la extensión .reg y ejecutarlo en algún equipo de prueba para que ver funcionan y se pueden ejecutar dichas aplicaciones. Yo no las he visto todas, así que ya es cosa vuestra probarla o no. Luego, si queréis aplicar estas configuraciones al resto de estaciones de trabajo vía GPO, podéis crear otra Directiva que cree estas claves de registro para todos los equipos. Aquí os dejo un artículo de este blog de como crear claves de registro desde una GPO: GPO: Asignación de Sitios a Zonas en IE (20-01-2014) y aquí otro ejemplo con la importación de las claves a crear en otros equipos desde un equipo "base": Deshabilitar IM en Lync 2013 (Parte II)
Si queréis agregar aplicaciones legítimas de forma manual, tendréis que hacerlo igual que para denegar su ejecución pero cambiando el Nivel de Seguridad de No Permitido a Usuario o Ilimitado (en base a como tengáis la configuración)
De esta forma, ya se podrá ejecutar el TeamViewer desde %appdata% y a buen seguro tendréis que configurar varias aplicaciones legítimas para que los usuarios puedan ejecutarlas, pero no escatiméis el esfuerzo de hacerlo y dar carta blanca, la seguridad conlleva un esfuerzo incial, pero luego os veréis recompensados, vosotros y los usuarios.
Por últimos comentaros que, en las Directivas de Restricción de Software podemos definir de forma global a quien se le aplican dichas restricciones, para ello modificaremos la opción de Cumplimiento y definimos a que usuarios se aplica dichas restricciones:
Ahora os toca a vosotros realizar vuestras propias configuraciones y adaptaciones, pero creo que una GPO de este estilo es necesaria para securizar nuestro dominio. El que tengamos problemas en nuestros clientes por ficheros cifrados es un auténtico problema, sobre todo porque al final es el usuario final que por desconocimiento o "atrevimiento" ejecuta o abre correos electrónicos que no debería. Si bien es cierto, que yo personalmente los cosas que he visto de CryptoLocker verían de usuarios que habían ejecutado el fichero que venía vía correo electrónico suplantando a la Oficina de Correos. El usuario de empresa es muy común que esté esperando algún paquete de la oficina de correos, por lo que recibir un fichero de correos especificando que tiene un paquete pendiente de recibir .. no es algo extraño para ellos. El problema, es que si se ejecuta el fichero … al momento se empiezan a cifrar tus datos locales, los que tengas en la red y todo (o casi) a lo que tenga acceso el malware. El problema es que a lo mejor cuando te das cuenta, ya te ha cifrado un % muy alto de información. Luego para recuperarla tenemos varias vías:
- Backup
- Backup
- Backup
- o … Backup
Esto de forma "normal", porque en todo caso podéis pagar un "rescate" a la gente que lo ha creado previo pago de xxxx de Euros. El cual a menos que no os quede otra yo no haría, puesto que sino al final estamos colaborando con este tipo de "gentuza". Está claro, que si tu empresa no tiene un sistema de backup adecudado a sus necesidades, etc … empezarás a sudar en frío.
Desde ASIR hemos enviado un documento de "Buenas Prácticas de Utilización del Correo Electrónico", el cual os dejo aquí por si alguien quiere tenerlo: 
Recomendaciones de seguridad para el uso de correo electrónico.pdf. En el documento hacemos referencia a los últimos ataques que tienen como vía de expansión el correo electrónico, y sobre todo buscando informar al usuario que tenga cuidad con lo que descarga y como identificar la legitimidad de los correos que recibe. Lo que buscamos es que se pare a pensar que hacer frente a un correo que no ve clara su finalidad y sino lo tiene claro … que lo borre directamente sin abrir.
Por último, comentaros que también es cierto que a los usuarios que he visto con el problema del CryptoLocker y que le ha venido por el correo electrónico, tenían como plataforma de correo sisteas low-cost, el Anti-SPAM sin activar, etc … porque empresas que tienen Office 365 o algún proveedor especializado en Anti-SPAM, etc.. no hemos tenido problema alguno, es que ni hemos visto ese correo en nuestros buzones.
Al final, la seguridad es responsabilidad de todos!! El usuario final que no ejecute lo que no debe y los de IT que tengamos las medidas necesarias para que los usuarios ya no tengan que tomar este tipo de decisiones (que a veces son complejas). Para los que vivimos el dia a día con estas cosas lo vemos muy sencillo (que no lo es), pero para un usuario normal no es tan sencillo de identificar.
Espero que os sea de utilidad!!!
Fuente para recopilar información para este artículo: Cryptolocker Ransomware Prevention
Leave a Reply