Negli ultimi giorni abbiamo rilevato un incremento di attacchi Ramsonware Cryptolocker che sfruttano varie vulnerabilità di sistema per depositare un eseguibile sulla directory %TEMP% del profilo utente. Spesso il malware rimane dormiente per diverso tempo; al momento dell’attivazione, se l’UAC è attivo, vengono richieste le credenziali di un profilo di amministrazione per l’esecuzione.
Al fine di mitigare questo tipo di attacco consigliamo l’attivazione di una policy per limitare l’esecuzione di codice eseguibile dal profilo utente; di seguito le indicazioni di massima per la compilazione della policy:
- Creare una nuova policy macchina ed entrare sul setting delle restrizioni software, su “Computer Configuration – Policies – Windows Settings – Software Restriction Policies”.
- Se non è presente nessuna policy, selezionare la folder “Software Restriction Policies”, premere il pulsante destro del mouse e sul menu contestuale selezionare “New Software Restriction Policies”.
- Dopo la creazione di una nuova policy, selezionare la voce “Additional Rules”, premere il pulsante destro del mouse sul pannello delle policy e dal menu contestuale selezionare la voce “New Path Rule…”
- Indicare i percorsi dai quali bloccare l’esecuzione di files eseguibili. Il nostro consiglio è di bloccare gli eseguibili dalla directory %TEMP%, ma se possibile è meglio bloccare l’intera directory AppData. Di seguito i percorsi che consigliamo di bloccare:
- a. %LocalAppData%\*.exe
- b. %LocalData%\*.exe
- c. %TEMP%\*.exe
Nel caso fossero bloccate le intere %AppData%, il blocco della %TEMP% sarebbe ridondante.
Poiché la policy blocca l’esecuzione di file EXE dal profilo utente, ci potrebbero essere degli impatti sull’operatività degli utenti; è quindi necessario provarla su un ambiente di test prima di metterla in produzione. Maggiori informazioni sulle Software Restriction Policies si possono trovare al seguente URL: https://technet.microsoft.com/en-us/library/hh831534.aspx