- Не работать на компьютере под пользователем с правами администратора.
- Настройка firewall. Запретить трафик для приложений, которые могут быть использованы для закачки тела вируса:
- cmd.exe
- wscript.exe
- cscript.exe
- mshta.exe
- regsvr32.exe
- rundll32.exe
- ftp.exe
- ntvdm.exe
- powershell.exe
- Настройка контроля запуска приложений.
- Запретить запуск любых дочерних процессов из скриптов. Т.е. запретить запуск любых приложений из следущих приложений:
- C:\Windows\System32\wscript.exe
- C:\Windows\System32\cscript.exe
- C:\Windows\SysWOW64\wscript.exe
- C:\Windows\SysWOW64\cscript.exe
- C:\Windows\System32\ntvdm.exe
- Запретить запуск скриптовых приложений из explorer. Т.е. для приложения C:\Windows\explorer.exe запретить запуск следующих приложений:
- C:\Windows\System32\wscript.exe
- C:\Windows\System32\cscript.exe
- C:\Windows\SysWOW64\wscript.exe
- C:\Windows\SysWOW64\cscript.exe
- Запретить для regsvr32.exe (C:\Windows\System32\regsvr32.exe, C:\Windows\SysWOW64\regsvr32.exe) запуск следующих дочерних процессов:
- C:\Windows\System32\cmd.exe
- C:\Windows\SysWOW64\cmd.exe
- C:\Windows\System32\wscript.exe
- C:\Windows\SysWOW64\wscript.exe
- C:\Windows\System32\cscript.exe
- C:\Windows\SysWOW64\cscript.exe
- C:\Windows\System32\ntvdm.exe
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
- Запретить для mshta.exe (C:\Windows\System32\mshta.exe, C:\Windows\SysWOW64\mshta.exe) запуск любых приложений.
- Запретить для run32.dll запуск следующих дочерних процессов:
- C:\Windows\System32\cmd.exe
- C:\Windows\SysWOW64\cmd.exe
- C:\Windows\System32\wscript.exe
- C:\Windows\SysWOW64\wscript.exe
- C:\Windows\System32\cscript.exe
- C:\Windows\SysWOW64\cscript.exe
- C:\Windows\System32\ntvdm.exe
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
- Запретить для powershell.exe (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe) запуск любых дочерних процессов.
- Запретить для приложений MS Office запуск дочерних процессов.
Для приложений Office 2016:
- C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
- C:\Program Files\Microsoft Office\Office16\OUTLOOK.EXE
- C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
- C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
- C:\Program Files (x86)\Microsoft Office\Office16\WINWORD.EXE
- C:\Program Files (x86)\Microsoft Office\Office16\OUTLOOK.EXE
- C:\Program Files (x86)\Microsoft Office\Office16\EXCEL.EXE
- C:\Program Files (x86)\Microsoft Office\Office16\POWERPNT.EXE
запретить запуск следующих приложений:
- C:\Windows\System32\cmd.exe
- C:\Windows\SysWOW64\cmd.exe
- C:\Windows\System32\wscript.exe
- C:\Windows\SysWOW64\wscript.exe
- C:\Windows\System32\cscript.exe
- C:\Windows\SysWOW64\cscript.exe
- C:\Windows\System32\ntvdm.exe
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
- C:\Windows\System32\regsvr32.exe
- C:\Windows\SysWOW64\regsvr32.exe
- C:\Windows\System32\rundll32.exe
- C:\Windows\SysWOW64\rundll32.exe
Для ограничения запуска других версий офис необходимо создать такие же правила, пути будут отличаться: 2016=Office16, 2013=Office15, 2010=Office14, 2007=Office12, 2003=Office11
- Запретить запуск любых дочерних процессов из скриптов. Т.е. запретить запуск любых приложений из следущих приложений:
- Включить на компьютере политику ограниченного использования приложений. При использовании домена через групповые политики, если домена нет то через "Локальные политики безопасости"