1. Не работать на компьютере под пользователем с правами администратора.
  2. Настройка firewall. Запретить трафик для приложений, которые могут быть использованы для закачки тела вируса:
    • cmd.exe
    • wscript.exe
    • cscript.exe
    • mshta.exe
    • regsvr32.exe
    • rundll32.exe
    • ftp.exe
    • ntvdm.exe
    • powershell.exe
  3. Настройка контроля запуска приложений. 
    • Запретить запуск любых дочерних процессов из скриптов. Т.е. запретить запуск любых приложений из следущих приложений:
      • C:\Windows\System32\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
    • Запретить запуск скриптовых приложений из explorer. Т.е. для приложения C:\Windows\explorer.exe запретить запуск следующих приложений:
      • C:\Windows\System32\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\SysWOW64\cscript.exe
    • Запретить для regsvr32.exe (C:\Windows\System32\regsvr32.exe, C:\Windows\SysWOW64\regsvr32.exe) запуск следующих дочерних процессов:
      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    • Запретить для mshta.exe (C:\Windows\System32\mshta.exe, C:\Windows\SysWOW64\mshta.exe) запуск любых приложений.
    • Запретить для run32.dll запуск следующих дочерних процессов:
      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
    • Запретить для powershell.exe (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe) запуск любых дочерних процессов.
    • Запретить для приложений MS Office запуск дочерних процессов.

      Для приложений Office 2016:

      • C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
      • C:\Program Files\Microsoft Office\Office16\OUTLOOK.EXE
      • C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
      • C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
      • C:\Program Files (x86)\Microsoft Office\Office16\WINWORD.EXE
      • C:\Program Files (x86)\Microsoft Office\Office16\OUTLOOK.EXE
      • C:\Program Files (x86)\Microsoft Office\Office16\EXCEL.EXE
      • C:\Program Files (x86)\Microsoft Office\Office16\POWERPNT.EXE

      запретить запуск следующих приложений:

      • C:\Windows\System32\cmd.exe
      • C:\Windows\SysWOW64\cmd.exe
      • C:\Windows\System32\wscript.exe
      • C:\Windows\SysWOW64\wscript.exe
      • C:\Windows\System32\cscript.exe
      • C:\Windows\SysWOW64\cscript.exe
      • C:\Windows\System32\ntvdm.exe
      • C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
      • C:\Windows\System32\regsvr32.exe
      • C:\Windows\SysWOW64\regsvr32.exe
      • C:\Windows\System32\rundll32.exe
      • C:\Windows\SysWOW64\rundll32.exe

      Для ограничения запуска других версий офис необходимо создать такие же правила, пути будут отличаться: 2016=Office16, 2013=Office15, 2010=Office14, 2007=Office12, 2003=Office11

  4. Включить на компьютере политику ограниченного использования приложений. При использовании домена через групповые политики, если домена нет то через "Локальные политики безопасости"