Д
оброго времени суток, уважаемый хабра–читатель. Я работаю в университете, в лаборатории вычислительной техники. Администрируем около сотни компьютеров. Перед нами встала проблема защиты от Autorun–вирусов на флэшках. Естественно у нас отключен автозапуск в Windows, однако нужно было защитить сами флэшки, чтобы работник дома, вставив рабочую флэшку, не заразил свой компьютер. Под катом решение проблемы.
После запуска Disk Director"а, вы увидите список дисков подключенных к вашей системе. В этом списке находим свою флэшку, жмем правой кнопкой мыши и выбираем «Удалить раздел», в новом окошке оставляем все как есть(Особой разницы там нет). Далее опять правый клик по нашему диску и выбираем «Создать раздел». В окне «Создать раздел» выбираем:
Теперь жмем на иконке «Флажка» и в появившемся окне нажимаем «Приступить». После сделанных изменений перезагрузите компьютер.
Флэшку также можно отформатировать и более простым способом, указанным ув. maxshopen :
Пуск → Выполнить → cmd →Convert f: /FS:NTFS < - это если данные на флэшке нужны и их некуда сбэкапить
Format f: /FS:NTFS < - если данные нафик
В столбце «Разрешить», оставляем отмеченными следующие пункты:
В столбце «Запретить» ставим галочку напротив пункта «Запись», в появившемся диалоге жмем «Да».
Все, в итоге мы получаем флэшку, на которую не сможет записаться Autorun. За это мы жертвуем малую долю производительности, возможность записи в корневой каталог носителя и, естественно, невозможность использования меню «Отправить» для копирования данных на носитель.
После форматирования накопителя в NTFS, его не видно в системе.
К сожалению или счастью, больше мною проблем не было найдено, если вдруг найдете - пишите, попробуем решить.
В Home
оснастка управления групповыми политиками отсутствует, однако тот же эффект может быть достигнут ручной правкой реестра:
1) Пуск -> выполнить -> regedit
2) открыть ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
3) Создать новый раздел
4) Переименовать созданный раздел в Explorer
5) В этом разделе создать ключ NoDriveTypeAutoRun
Допустимые значения ключа:
0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков.
Значения могут комбинироваться суммированием их числовых значений.
Значения по умолчанию:
0x95 - Windows 2000 и 2003 (отключен автозапуск сьемных, сетевых и неизвестных дисков)
0x91 - Windows XP (отключен автозапуск сетевых и неизвестных дисков)
USB Disk Security – это бесплатное приложение для обеспечения полной защиты от всевозможных вредоносных программ, распространяемых через съемные USB носители. Приложение работает с внешними жесткими дисками, картами памяти, цифровыми камерами, флеш носителями, а также с остальными устройствами, которые можно подключить через USB разъем. В основе работы Disk Security лежит специальная технология поиска угроз; как антивирусная программа, утилита в состоянии работать в скрытом режиме, лишь давая о своем существовании знать только в случае обнаружения вредоносного ПО.
В основном заражение персонального компьютера вирусами происходит в момент использования глобальной сети интернет, чуть реже это случается во время установки сомнительной или непроверенной программы. Зараженный файл проникнуть в ПК также может и через самый обыкновенный флеш носитель.
Во время подключения инфицированной флешки к персональному компьютеру, вредоносное программное обеспечение проникает на жесткий диск, а главное это происходит так быстро, что установленные антивирусные программы не всегда успевают вовремя среагировать. Специально для таких случаев необходимо использовать программы, которые легко справятся с данным типом угроз. На сегодняшний день Disk Security является одной из лучших программ для защиты от зараженных файлов, распространенных через USB накопители.
При обнаружении вирусов, приложение в зависимости от настроек будет их удалять или блокировать, тем самым не предоставляя им возможности выполнить автоматический запуск. Помимо этого утилита в состоянии восстановить систему после ее заражение вредоносным ПО, очистить жесткий диск от временных файлов, запретить выполнять копирования файлов с винчестера компьютера, проверка URL адресов, полное блокирование портов USB, управление автозагрузкой, принудительное сканирование жестких дисков.
Программа оснащена удобным и простым пользовательским русскоязычным интерфейсом. Панель управления находится с левой стороны рабочего окна, состоящая из семи основных пунктов. Отдельного внимания заслуживают следующие разделы: защита данных, сканирование и USB щит.
Последний раздел отвечает за вывод полного отчета обо всех обнаруженных угрозах. Также нужно принять во внимание, что утилита по умолчанию выполняет автоматическое удаление любого вредоносного приложения. Так что во избежания удаления важных документов, эту опцию лучше отключить, к примеру, после удаления загрузочного файла ваш USB носитель не сможет запуститься. После отключения, Disk Security будет действовать следующим образом – выполнит автоматическое перемещения зараженного файла в карантин или просто пометит его.
Помимо инструментов автоматической проверки флеш носителей, раздел «Сканирование» оснащен функцией вакцинации. Осуществить вакцинацию можно как на съемном носителе, так и на самом персональном компьютере. При этом на флешке или на винчестере создается специальный файл, который запрещает осуществлять запуск некоторым вредоносным приложениям. По желанию вакцинацию можно выключить.
Раздел «Защита данных» в состоянии обеспечить устройства более высокой защитой, например, можно выставить запрет на перемещение данных с компьютера на карту памяти или вообще закрыть доступ к ПК через USB порт. Для осуществления закрытия доступа потребуется перезагрузить компьютер, только после этого настройки вступят в силу.
USB Disk Security – простая и эффективная в использовании программа для обеспечения полной защиты от вредоносных программ, распространяемых через съемные носители.
Заразить компьютер вирусом очень легко, а внешний накопитель информации – еще проще. Как защитить флешку от вирусов, знают специальные программы и банальные меры предосторожности: о каждом варианте подробно расскажет данная статья. Эффективность способа зависит от многих факторов, но даже если эксплуатация флеш-карты производится в полном объеме и регулярно, обеспечить ей безопасность можно и нужно.
Перед тем, как обезопасить флешку от вирусов, вы должны убедиться, что на данный момент она и ваше устройство не являются носителями вредоносных программ. Начать стоит с устройство, которое регулярно взаимодействует с носителем. Проверив его программой, отключите автозагрузку файлов на всех жестких дисках: это можно сделать через обычные настройки, или с помощью программ.
Так как защитить данные на флешке от заражения вирусами сложнее, на данном этапе нужно быть особенно внимательным, и посвятить процессу необходимо столько личного времени, сколько того потребует способ защиты. Многие советуют закрыть доступ к карте для всех посторонних, и это помогает в 99-ти процентах случаев. Однако, быстрее будет все-таки воспользоваться специальными программами, которые описаны ниже в статье.
Если вышеописанные способы не смогли рассказать вам, как сделать флешку защищенной от вирусов, например, потому что нет доступа к стационарному компьютеру для проведения необходимых манипуляций – обратитесь к специалистам. В процессе работы они устанавливают программы-защитники, или запрещают к носителю доступ для всех программ, не одобренных администраторами устройств. Хотя эта процедура не стоит больших денег, проделать все то же самое можно и самостоятельно.
Вирусы в основном распространяют свое влияние именно на данный файл во внешнем накопителе, так что самый распространенный способ борьбы с ними – это работа с автораном.
Инструкция:
«attrib -S -H -R -A autorun.*
del autorun.*
attrib -S -H -R -A recycler
rd «\\?\%~d0\recycler\» /s /q
attrib -S -H -R -A recycled
rd «\\?\%~d0\recycled\» /s /q
mkdir «\\?\%~d0\AUTORUN.INF\LPT3″
attrib +S +H +R +A %~d0\AUTORUN.INF /s /d
mkdir «\\?\%~d0\RECYCLED\LPT3″
attrib +S +H +R +A %~d0\RECYCLED /s /d
mkdir «\\?\%~d0\RECYCLER\LPT3″
attrib +S +H +R +A %~d0\RECYCLER /s /dattrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir «?%~d0AUTORUN.INF..»
attrib +s +h %~d0AUTORUN.INF»
После того, как защита usb флешки от вирусов autorun inf была произведена, в качестве профилактики можно использовать дополнительные защитники. Например, бесплатные «Bitdefender USB Immunizer», «Panda USB Vaccine», «Ninja Pendisk» и другие. Так как программы для защиты флешки от вирусов имеют разный функционал, однозначно сказать, какая из них лучше, нельзя.
Важно интересоваться не только наличием проблемы в самом носителе, но и тем, как защитить компьютер от вирусов с флешки. Это сделает процесс эффективнее, поэтому ниже разобраны оба варианта поиска вредоносных файлов.
Самым лучшим способом считается установка антивирусника. Это обусловлено тем, что проследить за новыми файлами здесь сложнее, а значит, будет куда удобнее и быстрее, если эту работу сделает за вас робот. Подойдет любой известный антивирус.
Если вы часто пользуетесь USB накопителем - переносите файлы туда и обратно, подключаете флешку к различным компьютерам, то вероятность того, что на ней окажется вирус достаточно велика. По своему опыту ремонта компьютеров у клиентов могу сказать, что примерно каждый десятый компьютер может стать причиной того, что на флешке появился вирус.
Чаще всего, распространение вредоносной программы происходит через файл autorun.inf (Trojan.AutorunInf и другие), об одном из примеров я писал в статье . Несмотря на то, что исправляется такое сравнительно легко, лучше защититься, чем потом заниматься лечением вирусов. Об этом и поговорим.
Как уже было сказано, все бесплатные программы, помогающие защитить флешку от вирусов действуют примерно одинаково, внося изменения и записывая собственные файлы autorun.inf, устанавливая права на доступ к этим файлам и предотвращая запись вредоносного кода на них (в том числе, когда вы работаете с Windows, используя аккаунт администратора). Отмечу наиболее популярные из них.
Бесплатная программа от одного из ведущих производителей антивирусов не требует установки и очень проста в использовании. Просто запустите ее, и в открывшемся окне вы увидите все подключенные USB накопители. Кликните по флешке, чтобы защитить ее.
Скачать программу для защиты флешки BitDefender USB Immunizer можно на официальном сайте https://labs.bitdefender.com/2011/03/bitdefender-usb-immunizer/
Еще один продукт от разработчика антивирусного программного обеспечения. В отличие от предыдущей программы, Panda USB Vaccine требует установки на компьютер и имеет расширенный набор функций, например, с использованием командной строки и параметров запуска можно настроить защиту флешки.
Кроме этого, есть функция защиты не только самой флешки, но и компьютера - программа вносит необходимые изменения в настройки Windows с тем, чтобы отключить все функции автозапуска для USB устройств и компакт-дисков.
Для того, чтобы установить защиту, в главном окне программы выберите USB устройство и нажмите кнопку «Vaccinate USB», для отключения функций автозапуска в операционной системе воспользуйтесь кнопкой «Vaccinate Computer».
Скачать программу можно со страницы http://research.pandasecurity.com/Panda-USB-and-AutoRun-Vaccine/
Программа Ninja Pendisk не требует установки на компьютер (однако, может быть, что вы захотите самостоятельно добавить ее в автозагрузку) и работает следующим образом:
При этом, несмотря на простоту использования, Ninja PenDisk не спрашивает вас, хотите ли вы защитить тот или иной накопитель, то есть, если программа запущена, она автоматически защищает все подключаемые флешки (а это не всегда хорошо).
Официальный сайт программы: http://www.ninjapendisk.com/
Все, что нужно для предотвращения заражения флешки вирусами можно проделать и вручную без использования дополнительных программ.
Для того, чтобы защитить накопитель от вирусов, распространяющихся с помощью файла autorun.inf, мы можем самостоятельно создать такой файл и запретить его изменение и перезапись.
Запустите командную строку от имени Администратора, для этого в Windows 8 можно нажать клавиши Win + X и выбрать пункт меню Командная строка (администратор), а в Windows 7 - зайти во «Все программы» - «Стандартные», кликнуть правой кнопкой по ярлыку «Командная строка» и выбрать соответствующий пункт. В примере ниже E: - это буква флешки.
В командной строке введите последовательно следующие команды:
Md e:\autorun.inf attrib +s +h +r e:\autorun.inf
Готово, вы поделали те же действия, что выполняют программы, описанные выше.
Еще один надежный, но не всегда удобный вариант защитить флешку от вирусов - запретить запись на нее для всех, кроме конкретного пользователя. При этом, данная защита будет работать не только на том компьютере, где это делалось, но и на других ПК с Windows. А неудобно это может быть по той причине, что если вам потребуется записать что-то с чужого компьютера к себе на USB, это может вызвать проблемы, так как вы будете получать сообщения «Отказано в доступе».
Проделать это можно следующим образом:
После этого, запись на данный USB станет невозможной для вирусов и других программ, при условии, что вы не работаете от имени пользователя, для которого эти действия разрешены.
На этом пора заканчивать, думаю, описанных способов будет достаточно, чтобы защитить флешку от возможных вирусов для большинства пользователей.
С безопасностью всегда так. Стоит расслабиться и, заболтавшись с приятелем, вставляешь его флешку в свой отлаженный комп, и на вопрос Касперского - а не проверить ли нам эту флешку, беззаботно отвечаешь - да не надо… И потом получаешь развлечение на все выходные…
А еще чаще бывает другая ситуация - когда приходится вставлять свою флешку в чужой компьютер. Это совсем не обязательно компьютер друзей-приятелей, сейчас можно подцепить вирус и в студии фотопечати, и даже в налоговой…
В этой статье я расскажу как защитить свой компьютер и флешку от вирусов без дополнительных программ.
Вы узнаете 3 качественных способа, проверенных временем, которые спасают в большинстве случаев.
Не лезьте в реестр, если вы никогда этого не делали, и плохо представляете, чем отличается раздел от параметра, и как создаются параметры и изменяются их значения!
Начнем с того, что сначала защитим свой компьютер от зараженных флешек. Мало ли где мы сами вставляли свою флешкe, или к нам кто пришел с неизвестно какой флешкой…
Для надежной защиты компьютера от вирусов на usb-флешках достаточно отключить автозагрузку (автозапуск) на всех дисках, подключаемых к компьютеру. Для этого можно воспользоваться специальными программами (Anti autorun), либо сделать несложные настройки.
Анти-ауторан - это программа для защиты флешек, карт памяти, mp3-4-плееров и других съемных носителей информации от вирусов.
Все дальнейшие действия делаются с правами администратора.
1. Отключаем автозапуск в групповых политиках
Откройте Редактор локальной групповой политики:
Пуск - Выполнить (Win+R) - gpedit.msc или в строке поиска начните набирать «групповая»
Конфигурация компьютера-Административные шаблоны- Все параметры - Отключить автозапуск
Правой кнопкой мыши - Изменить - Включить - Все устройства - Применить.
2. Отключаем автозапуск с помощью редактора реестра
Полностью отключить автозапуск со всех дисков можно также, воспользовавшись редактором реестра.
Запустите редактор реестра (Win+R). Откройте ветку
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
и в значении двоичного параметра «NoDriveTypeAutoRun », и вместо «95» (или «91») прописать «FF».
Допустимые значения ключа:
0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков.
В Windows XP по умолчанию этот ключ отсутствует (как и сам раздел Explorer), поэтому может потребоваться создание соответствующего раздела (Explorer) и параметра NoDriveTypeAutoRun , управляющего автозагрузкой устройств.
Все изменения в реестре вступают в силу после перезагрузки.
3. Запись в реестр сценария
Следующий метод представляет более расширенные возможности удаления потенциально опасных брешей в безопасности системы, связанных в том числе и с автозапуском.
Создайте произвольный reg-файл (например с именем noautorun.reg) и следующим содержимым:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ AutoplayHandlers\CancelAutoplay\Files]
«*.*»=»»
«NoDriveTypeAutoRun»=dword:000000ff
«NoDriveAutoRun»=dword:000000ff
«NoFolderOptions»=dword:00000000
«CheckedValue»=dword:00000001
@=»@SYS:DoesNotExist»
«AutoRun»=dword:00000000
После чего запустите данный файл, и на вопрос системы о внесении изменений отвечайте «Да».
Отключить автозапуск временно (например, при отсутствии прав администратора), на период подключения устройства (флэшки) можно, удерживая нажатой клавишу Shift . При это открывать флешку рекомендуется не через «Мой компьютер» (иначе автозапуск сработает), а через Проводник.
Когда-то для защиты USB-флешки от вирусов считалось достаточным создать на ней пустой файл autorun.inf и назначить ему права «только для чтения». В этом случае вирус не мог создать там собственный файл автозагрузки, поскольку такой файл уже существовал и имел соответствующие атрибуты.
Суть метода в том, чтобы защитить специальный файл, который отвечает за автоматический запуск программы в момент подключения диска к системе.
Файл называется autorun.inf. Вирусы его обожают.
Дело в том, что если на флешку записать вирус, а затем в autorun.inf указать команду на его запуск, то вредоносная программа будет запускаться КАЖДЫЙ РАЗ при подключении диска к системе.
Итак, чтобы защитить свою флешку проделайте следующее:
Шаг 1 . Откройте текстовый редактор «Блокнот» (Пуск- Стандартные- Блокнот).
Шаг 2 . Скопируйте эти строки и вставьте их в Блокнот:
attrib -S -H -R -A autorun.*
del autorun.*
attrib -S -H -R -A recycler
rd «\\?\%~d0\recycler\» /s /q
attrib -S -H -R -A recycled
rd «\\?\%~d0\recycled\» /s /q
mkdir «\\?\%~d0\AUTORUN.INF\LPT3″
attrib +S +H +R +A %~d0\AUTORUN.INF /s /d
mkdir «\\?\%~d0\RECYCLED\LPT3″
attrib +S +H +R +A %~d0\RECYCLED /s /d
mkdir «\\?\%~d0\RECYCLER\LPT3″
attrib +S +H +R +A %~d0\RECYCLER /s /dattrib -s -h -r autorun.*
del autorun.*
mkdir %~d0AUTORUN.INF
mkdir «?%~d0AUTORUN.INF..»
attrib +s +h %~d0AUTORUN.INF
Можно выделить текст мышкой, скопировать его в буфер обмена, затем переключиться в Блокнот и выполнить команду вставки.
Что означают эти команды? Как же это работает?
Сначала мы удаляем файлы или папки, которые, возможно, успел насоздавать вирус, сняв с них защитные аттрибуты.
Это различного типа файлы с именем autorun, папки recycler и recycled, маскирующиеся под корзину.
Затем мы особым способом создаём папку Autorun.inf, содержащую папку с системным именем LPT3. Ещё со времён незабвенного ДОСа существует ряд имён, которыми нельзя называть файлы и папки, с которыми нельзя проводить какие-либо операции. Пример таких зарезервированных имён: LPT1, LPT2, LPT3, PRN, СONF , con, nul, AUX, COM1…. и другие. Попробуйте создать папку, скажем, PRN. У вас ничего не выйдет. Обычными средствами Windows создать папку нельзя. Но способ есть. Именно он и применяется в этом скрипте.
Строка
mkdir «\\?\%~d0\autorun.inf\LPT3″ означает:
mkdir
- команда создать директорию.
\\?\
- это как раз то, что помогает создать папку с зарезервированным системным именем.
%~d0\
- обозначение конкретной директории.
Если указать вместо этого f:\, то можно будет скрипт запускать хоть откуда, он на диске f: создаст.
autorun.inf и LPT3 - имена каталогов, которые будут созданы.
Кстати сказать, удалить эту папку можно будет таким же образом, а иначе никак. Если захочется удалить, выполните в командной строке:
rmdir \\?\f:\autorun.inf\,
где f: - это диск, с которого удаляем папку «autorun.inf».
Ещё один момент: добавление аттрибутов папкам - это дополнительная защита.
Команда attrib
добавляет следующие аттрибуты этим папкам: системный, скрытый, только для чтения, архивный.
Шаг 3 . Сохраните документ на флешку в файле с расширением bat. Обязательно на флешку и обязательно с расширением bat. Имя может быть любое, например: locker.bat
Шаг 4 . Запустите Проводник, перейдите на флешку и запустите файл.
После запуска будет создана папка AUTORUN.INF с атрибутами, защищающими её от записи и скрывающими от посторонних глаз.
Теперь, если вставите флешку в заражённый компьютер, то вирус не сможет изменить файл автозапуска. Поскольку вместо файла у нас папка, да ещё скрытая и защищённая от записи. Ничего у него ничего не получится.
Но смотрите: вирус может записать себя в другое место на диске или изменить какой-нибудь файл.
Поэтому без опаски вставляйте флешку в свой компьютер и - настоятельно рекомендую - проверяйте её на вирусы. Время, затраченное на проверку, не соизмеримо с потерями, которые будут после заражения системы вирусом.
Обращаю внимание: наша защита препятствует только изменению файла автозапуска.
Чтобы защитить другую флешку, проделайте вакцинацию: скопируйте на неё файл-таблетку locker.bat и запустить его в Проводнике.
Защита очень качественная, на мой взгляд, самая лучшая, она проверена временем и вирусами, спасает в 99% случаев!
Флэшка, сделанная таким методом, после контакта с заразным ноутбуком, а точнее с десятками ноутбуков, останется кристально чистой. Так что делаем не задумываясь!
Заходим в «Мой компьютер», находим нашу флэшку, нажимаем на ней правой кнопкой мыши, затем выбираем «Свойство » и видим такую картину:
Если у вас также, как и у меня файловая система NTFS, то переходите к следующему пункту. Для тех, у кого Fat32, нужно поменять файловую систему. Сделать это можно только при форматировании.
Нажимаем правой кнопкой мыши на съемном диске и выбираем «Форматировать» - NTFS - Быстрое форматирование.
Надеюсь, вы в курсе, что при форматировании все данные будут удалены с флешки.
Создайте пустую папку на флешке. Например - ‘Data’
Опять открываем свойства съемного диска, вкладка .
Видим столбик «Разрешить» с галочками. Это значит, что у нас открыт полный доступ, без проблем можно создавать новые файлы, удалять, редактировать и так далее. Вирусы от этого просто счастливы и умело пользуются свободой.
Так как нас это дело категорически не устраивает, жмем мышкой на кнопку «Изменить». В появившемся окне снимаем все галки, кроме «Список содержимого папки » и «Чтение » и жмем «Ок».
Таким образом мы закрыли доступ к флешке. Теперь, если захочется создать на ней новую папку или файл (или скопировать), мы получим ошибку. Не выйдет выполнить функцию «оправить на съемный диск». Но хорошая новость в том, что и вирус не сможет при таком раскладе прописаться на флешке.
4. Открываем права доступа к созданной папке
Нам нужно вернуть все права на папку, которую мы создали в корне флешки, иначе с ней работать будет невозможно не только вирусам, но и нам. Для этого, как обычно, на папке жмем правой кнопкой мыши и «Свойства» - Изменить, и устанавливаем все флажки в столбике «Разрешить ».
После нажатия кнопки ОК защита флешки от вирусов установлена.
Все данные будут храниться в этой папке, к ним будет полный доступ. Всегда можно удалить, создать, копировать, переименовать…да хоть что угодно сделать с файлами и папками. А вот вирусы (точнее, как я сразу и говорил, не все, но 99% точно) не смогут ничего сделать, так как они автоматически лезут в корневую папку.
Помните, что намного проще не допустить вирус на флешку, чем потом восстанавливать повреждения.