подскажите

RSS

Сообщений: 39

Баллов: 19

Регистрация: 19.03.2016

Размещено 16.03.2017 00:15:53

Здравствуйте,нужен развернутый и как можно подробней ответы ,а вопросы вот в чем...Я хочу с помощью хипса защитить на виндовс 7 32 бита, атозапуск,MBR ,профили браузеров,настройки браузеров,защититься от винлокеров и шифровальщиков, защититься от запуска bat файлов (запрос на запуск),защитить настройки интернета ,DNS ,хост фаил ,усилить защиту нод 32 от изменения ,удаления и тд, сделать запрос на загрузку новых драйверов,при попытки изменить программу или процесс,что бы хипс реагировал,как это сделать и что вы посоветуете добавить к этрим настройками? или может готовая конфигурация?

Ответы

Пред. 1 2 3 4 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.04.2018 05:51:42

Цитата
Евгений Каспаров написал: Ни как)) Настройка в HIPS, выдать запрос при низкоуровневом доступе к диску, в случае с Ransom.Petya( это при отсутствии сигнатурного детекта естественно) никакого результата не дала. Запросов не было, перезагрузка и блок MBR. Я поэтому и спросил здесь, может я чего то не знаю?

Цитата

Евгений Каспаров написал:
Ни как)) Настройка в HIPS, выдать запрос при низкоуровневом доступе к диску, в случае с Ransom.Petya( это при отсутствии сигнатурного детекта естественно) никакого результата не дала. Запросов не было, перезагрузка и блок MBR. Я поэтому и спросил здесь, может я чего то не знаю?

а если выбрать "заблокировать" для всех приложений операции над файлами например диска C при непосредственном (нестандартном, надо понимать, низкоуровневом) доступе к диску?

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 25.06.2015

Размещено 16.04.2018 06:12:34

Цитата
santy написал: а если выбрать "заблокировать" для всех приложений операции над файлами например диска C при непосредственном (нестандартном, надо понимать, низкоуровневом) доступе к диску?

Вот что выходит: https://youtu.be/QZywhw7mZQk
https://www.virustotal.com/#/file/f828510021f1efe36122ce69ea454365b8d2760cf25e337768119229be29fa67/d...

Сообщений: 14

Баллов: 7

Регистрация: 25.06.2015

Размещено 16.04.2018 06:16:19

Ну и в конечном итоге
https://hostingkartinok.com/show-image.php?id=2b2fe20e55db19682791e98442cada7b

Изменено: Евгений Каспаров - 16.04.2018 06:18:56

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.04.2018 06:28:34

Цитата
Евгений Каспаров написал: Ну и в конечном итоге https://hostingkartinok.com/show-image.php?id=2b2fe20e55db19682791e98442cada7b

Вы GoldenEye версию Пети использовали? а какую версию продукта ESET тестируете?

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 25.06.2015

Размещено 16.04.2018 06:32:03

ESET Internet Security 11.1.42.1 Про Петю не могу сказать, не знаю версию

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.04.2018 06:40:15

Цитата
Евгений Каспаров написал: ESET Internet Security 11.1.42.1 Про Петю не могу сказать, не знаю версию

посмотрю на виртуалке.

Вариант GoldenEye начинается с шифрования файлов пользователя, точно так же, как обычное вымогательство. Для каждого файла, который он шифрует, GoldenEye добавляет случайное 8-символьное расширение в конце.

Затем ransomware также модифицирует MBR (Master Boot Record) на жестком диске пользователя с помощью пользовательского загрузчика.

Как только эта операция заканчивается, отображается следующая заметка о выкупе. Имя файла: YOUR_FILES_ARE_ENCRYPTED.TXT.

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 25.06.2015

Размещено 16.04.2018 06:49:04

Цитата
santy написал: Вариант GoldenEye начинается с шифрования файлов пользователя, точно так же, как обычное вымогательство. Для каждого файла, который он шифрует, GoldenEye добавляет случайное 8-символьное расширение в конце.

Скорее всего это другой какой то... Поделитесь результатом теста)), а так же вариантом защиты средствами ESET

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.04.2018 07:50:23

это скрин от GoldenEye

тестировал на корпоративной семерке. 7.0.2046
при включенном модуле Antiransomware (выключена постоянная защита и расширенная проверка памяти) блокируется запуск.

Time;Application;Operation;Target;Action;Rule;Additional information
05.04.2018 15:28:34;C:\Users\users\AppData\Roaming\{00020e9b-e497-46ea-bf98-7f99193da322}\raserver.exe;Potential ransomware behavior;;blocked;Ransomware activity detection;
------------
если отключить модуль Antiransomware, правило HIPS, с блокированием прямого доступа не помогает,
скорее всего оно предназначено не для блока записи в MBR, а для изменения файлов через прямой доступ к диску.

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 25.06.2015

Размещено 16.04.2018 08:00:18

Цитата
santy написал: скорее всего оно предназначено не для блока записи в MBR, а для изменения файлов через прямой доступ к диску.

Короче правилами HIPS здесь не обойтись, домашние продукты без сигнатурного детекта бессильны... А техподдержка про такое поведение знает??

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.04.2018 08:47:12

Цитата
Евгений Каспаров написал: Короче правилами HIPS здесь не обойтись, домашние продукты без сигнатурного детекта бессильны... А техподдержка про такое поведение знает??

HIPS не панацея от всех бед. Важны все защитные модули в комплексе.

[ Как создать образ автозапуска? ]

Пред. 1 2 3 4 След.