Com afegir una clau de registre de Windows en els equips del domini?

En la entrada del blog de Com protegir el Outlook d’arxius perillosos? es va proposar de modificar una clau de registre de Windows per protegir el Outlook d’arxius perillosos

Si tenim una xarxa amb molts equips, aquesta tasca pot ser molt feixuga, però si el nostre sistema té implementat un domini de Windows amb Directori Actiu, podem automatitzar la creació d’aquesta clau de registre.

El primer que caldrà fer serà crear dins del les polítiques del domini (GPO) una directiva que executi un script en el procés de Logon del usuari.

directiva-local

El script ha de ser un arxiu cmd amb el següent contingut :

@echo off
reg query HKCU\Software\Microsoft\Office\14.0\Outlook\Security /v Level1Add
IF %errorlevel%==0 GOTO skip_reg_inport
regedit.exe /s \\servidor\carpeta\regfile.reg
:skip_reg_inport

Aquest script interroga si existeix la clau Level1Add dins de la ruta especificada. En cas negatiu, executarà l’ordre regedit.exe per carregar la clau de registre que volem.

L’arxiu regfile.reg ha de contenir la clau o claus de registres que volem inserir dins del registre del equip que executarà l’script. Per exemple :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Outlook\Security]
“Level1Add”=”.zip; .rar; .vbs; .js; .php”

 

Com protegir el Outlook d’arxius perillosos?

Un dels punts delicats dels sistemes informàtics es protegir la possible descarrega d’arxius amb programari maliciós des de el programa Outlook.

Outlook_2010

Molts proveïdors de correu, ja controlen que no es pugi adjuntar certs tipus d’arxius en un correu electrònic, però els “ciberdelinqüents” van sempre un pas per davant alhora de buscar sistemes per saltar-se aquestes proteccions.

Per garantir una millor seguretat en els nostres sistemes informàtics, podem bloquejar en el Outlook que certs tipus d’adjunció no estiguin autoritzats. Per exemple, no permetre extensions .zip, .rar, .js, ……..

Podem modificar el registre de Windows perquè quedin bloquejats aquest tipus d’extensió.

El primer que tindrem que fer, serà executar el programa de regedit en el nostre equip per poder accedir en el registre de Windows. Per poder realitzar, serà necessari tenir permisos d’administrador

outlook-1

Desprès caldrà buscar la clau de registre Security del Outlook que està en la següent ruta :

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security

Segons la versió que tingueu d’Oulook pot variar una part d’aquesta clau, per exemple si teniu la versió 2010 serà \14.0\ , però si teniu un Outlook 2007 serà \12.0\

outlook-2

Dins d’aquesta carpeta del registre caldrà crear una nova clau de tipus cadena anomenada Level1Add

Outlook-3

Una vegada tingueu creada la clau, podreu editar-la per fer una llistat de les extensions que voleu bloquejar, separades per punt i coma (;)

outlook-4

Nous atacs del programari maliciós ransomware de segrest de dades

Aquestes darreres setmana han tornat a proliferar correus electrònics amb adjuncions o enllaços que contenen arxius que activem programari maliciós del tipus ransomware

locky-ransomware

Que son els programes maliciosos del tipus ramsomware?

El ransomware són programes que “segresten” les nostres dades utilitzant sistemes de xifrats que modifiquen els arxius de dades i programes deixar-los inutilitzats.

Quina forma habitual tenen d’entrada?

El punt de entrada d’aquests tipus de programari maliciós és des de un correu electrònic que conté una adjunció o un enllaç que connectat amb una pàgina que conté el programa. Els correus electrònics solen tenir remitents que poden ser de la nostra pròpia empresa, d’entitats o organismes públics, de clients o inclús el remitent pot ser la nostra pròpia adreça de correu.

Una vegada un ransomware ha entrat dins del nostre equip, aquests començarà a “segrestar” les dades començant per el nostre disc dur i continuant per les unitats connectades de xarxes, habitualment els servidors.

Com actuar inicialment?

En el primer símptoma d’un possible “segrest” de les dades es important aturar tots els sistemes informàtics, es a dir, apagar tots els equips i contactar amb el vostre tècnic informàtic els més aviat possible.

Els antivirus no detectant aquests programari?

Molts usuaris es pregunten com es possible que els antivirus no detectin aquest tipus de programari maliciós, la explicació principal es que el “ciberdelinqüents” que desenvolupen aquest tipus de programes estant sempre un pas per davant del sistemes de protecció, i s’aprofiten de les errades dels sistemes, els descuits dels usuaris i/o negligències dels usuaris per poder accedir en els equips.

Que puc fer per intentar d’evitar el ransomware?

Es molt important per prevenir aquests tipus d’atacs ser el màxim de cautelós alhora d’obrir els correus electrònics  i  les adjuncions. Alguns consells :

  • No obrir cap arxiu comprimit (ZIP / RAR / ….) que sigui dubtós: observeu qui és el remitent.
  • El més habituals es enviar-se arxius amb extensió .PDF o .JPG, no es normal rebre correus amb formats diferents.
  • Si rebeu un arxiu comprimit (ZIP / RAR / …), i l’obriu, observeu que conté dins de ell abans de fer qualsevol acció. Dins de un ZIP només es lògic que contingui arxius de dades, es a dir, arxius PDF, JPG, DWG, ……
  • Dins d’un comprimit mai ha d’haver-hi arxius amb extensions del tipus .EXE, .COM, .js, .vbs, ….. No executeu aquests tipus d’arxius
  • Els document de Word, Excel i Access també poden contenir programari maliciós. No obriu documents que no esteu esperant. Demaneu sempre que us enviïn documents amb format PDF
  • Davant de dubtes, contacteu per telèfon o mail amb el remitent per demanar-li si us ha enviat un correu amb adjuncions.
  • No obriu correus que no conegueu el remitent, o que contenen un idioma no habitual.
  • Els organismes oficials : correus, hisenda, seguretat social, ajuntaments, …. no envien correus amb adjuncions de cap tipus.
  • No accediu a pàgines web no habituals o que no tingueu constància de que tinguin una bona reputació.
  • No utilitzeu en els llocs de treball aplicacions web de xarxes socials que puguin enviar-se arxius, enllaços.

Recomanacions

Es molt important que els nostre sistemes estiguin el màxim actualitzats, tinguin sistemes anti-virus actualitzats i el més important disposar de un  sistema de còpies de seguretat que garanteixi la recuperació de les dades davant un possible desastre.