jueves, 8 de septiembre de 2016

Como Protegernos De los Ransomware Virus VBScript y Javascript

Ahora le enseñare como evitar ser victima de los ransomware y virus que se ejecutan con las extensiones VBS y JS, para eso evitaremos que se ejecute el archivo Wscript.exe que es un archivo que trae incorporado windows por defecto pero que muchas personas no lo necesitan, así que sino lo necesitan pues lo bloqueamos.

para eso primero presionamos la tecla Windows+r y tecleamos regedit para luego dar clic en aceptar





de nuevo damos clic en aceptar para otorgar permisos de administrador y nos parecerá lo siguiente




como verán tiene una apariencia ramificada,estas ramas se llaman claves del registro y nos iremos ala clave llamada   HKEY_LOCAL_MACHINE y se mostrara así



si observan se expandio ahora nos iremos ala clave llamada SOFTWARE y se expandirá de nuevo y después a Microsoft luego a Windows Script Host y por ultimo a Settings

ya que estemos hay crearemos un nuevo valor llamado Enabled dando clic derecho y nuevo valor de cadena



ahora que ya lo hemos creado y puesto el nombre Enabled, daremos doble clic en el y le pondremos como valor el 0 y por ultimo damos aceptar



para que se efectúen los cambios no es necesario reiniciar la maquina, si intentan ejecutar un archivo con la extencion VBS o JS les mostrara el siguiente mensaje




primer objetivo hecho pero queda otro bloquear el powershell ya que un compañero del foro demostró que se puede descargar un archivo .EXE desde Internet y ejecutarlo.

y por otra parte no sirve de nada ejecutar estas lineas en el símbolo del sistema como administrador

powershell Set-ExecutionPolicy Restricted

ya que solo restringen los script PS1 de powershell, pero como dice en la pagina de microsoft que se puede usar en modo interactivo leerlo aqui: https://technet.microsoft.com/en-us/library/ee176961.aspx


bueno así que para bloquear este archivo nos iremos ala siguiente ruta del registro

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies

ya que estamos aquí crearemos una nueva clave de registro llamada Explorer y si la tienen es mejor no es necesario crearla.

ahora crearemos un nuevo valor REG_DWORD así






y lo llamaremos DisallowRun ahora daremos doble clic en el y como valor le pondremos el 1



y damos aceptar.

después crearemos una clave llamada DisallowRun 





para luego que darnos así




dentro de ella crearemos 2  nuevo valores de cadena




al primero lo llamaremos 1 y al segundo 2



ahora al 1 le daremos doble clic y pondremos como valor powershell.exe y damos aceptar


con el 2 hacen lo mismo pero en ves de powershell.exe le ponen wscript.exe esto es por si las dudas jajaja.

después de esto borraremos el powershell de los valores del sistema por que si reiniciamos la maquina desde el símbolo del sistema se sigue ejecutando este programa, así que cerramos el registro y nos dirigimos a

después en configuraciones avanzadas del sistema





después aquí damos clic en variables de entorno



ahora elegimos path  y damos en editar




en la siguiente ventana elegimos la ruta del powershell y damos en modificar, no la eliminaremos ya que si en dado caso la llegaran a ocupar solo revierten los cambios




como modificación yo le agregue 0000 y me quedo así



ahora daremos clic en aceptar en todo y reiniciamos nuestra pc para que surjan los cambios del registro y después de esto no se ejecutara el powershell ni mucho menos los archivos VBS y JS


bueno amigos eso es todo saludos Flamer

No hay comentarios.:

Publicar un comentario