Да, без «антивируса». И откуда возьмется шифровальщик? Сколько раз видел шифровальщик и всегда это были сидящие из-под админа, без белого списка ПО, без настроенного firewall-а, но зато с АНТИВИРУСОМ!
Не проще ли просто не давать прав на запуск в Temp? Зачем у вас на свежеустановленной ОС разрешен запуск программ в куче разных мест? Есть же Program files, куда обычным пользователям запись запрещена.
Прочитал статью и не понимаю, почему бы просто по умолчанию не запретить запуск ПО из мест куда разрешена запись? Или по умолчанию настроить стандартный firewall на белый список исходящих или входящих соединений? Почему по умолчанию разрешен запуск powershell, mshta, cscript, wscript? Можно же запускать их из-под отдельных пользователей. Да, в случае уязвимостей в компонентах, работающих с системными правами это не поможет, но в остальном будет работать. Почему windows изначально не настроен?
добавлю, что в случае домашней винды, где нет SRP, можно запретить запуск исполняемых файлов правами файловой системы, а в случае скриптов — запретить запуск mshta, wscript и cscript. Если для ПО требуются эти компоненты, можно создать пользователя, настроить разрешения и запускать ПО от этого пользователя через runas.
Wanna Cry использовал уязвимости в smb, причем первой версии, которую можно выключить + нужно апдейты ставить.
Если у вас можно запускать исполняемые файлы или скрипты, присланные по почте, скачанные браузером и т.п. значит система точно нормально не настроена.
Почему бы просто не изучить ос, которую вы используете? Узнать, что там есть настройка прав на файловую систему, процессы. В винде есть integrity levels, в линуксе — selinux. Еще есть штатный firewall. Описанный в статье «троян» в нормально настроенной системе работать не будет. Конечно, есть вариант, что будут использованы уязвимости для поднятия прав в системе, но тут надо просто вовремя обновляться.
Во-вторых, не будет прав за запуск программ и скриптов.
Включенные и настроенные SRP не дадут запуститься.
Еще можно настроить доступ к съемным дискам, например запретить запуск исполняемых файлов.
Если это скрипт, то его должен кто-то выполнять(и его можно запретить). В случае SRP можно добавить расширение jar и py в список контролируемых.
Вот. У всех с уровнем ниже «высокий» не будет возможности изменять папку. Еще можно сомнительное ПО запускать с уровнем «низкий».
Если у вас можно запускать исполняемые файлы или скрипты, присланные по почте, скачанные браузером и т.п. значит система точно нормально не настроена.