подскажите

RSS
Здравствуйте,нужен развернутый и как можно подробней ответы ,а вопросы вот в чем...Я хочу с помощью хипса защитить на виндовс 7 32 бита,  атозапуск,MBR ,профили браузеров,настройки браузеров,защититься от винлокеров и шифровальщиков, защититься от запуска bat файлов (запрос на запуск),защитить настройки интернета ,DNS ,хост фаил ,усилить защиту нод 32 от изменения ,удаления и тд, сделать  запрос на загрузку новых драйверов,при попытки изменить программу или процесс,что бы хипс реагировал,как это сделать и что вы посоветуете добавить к этрим настройками? или может готовая конфигурация?

Ответы

Цитата
Евгений Каспаров написал:
Ни как)) Настройка в HIPS, выдать запрос при низкоуровневом доступе к диску, в случае с Ransom.Petya( это при отсутствии сигнатурного детекта естественно) никакого результата не дала. Запросов не было, перезагрузка и блок MBR. Я поэтому и спросил здесь, может я чего то не знаю?
а если выбрать "заблокировать" для всех приложений операции над файлами например диска C при непосредственном (нестандартном, надо понимать, низкоуровневом) доступе к диску?
Цитата
santy написал:
а если выбрать "заблокировать" для всех приложений операции над файлами например диска C при непосредственном (нестандартном, надо понимать, низкоуровневом) доступе к диску?
Вот что выходит: https://youtu.be/QZywhw7mZQk
https://www.virustotal.com/#/file/f828510021f1efe36122ce69ea454365b8d2760cf25e3377681192­29be29fa67/d...
Ну и в конечном итоге
https://hostingkartinok.com/show-image.php?id=2b2fe20e55db19682791e98442cada7b
Изменено: Евгений Каспаров - 16.04.2018 06:18:56
Ds
Цитата
Евгений Каспаров написал:
Ну и в конечном итоге
https://hostingkartinok.com/show-image.php?id=2b2fe20e55db19682791e98442cada7b
Вы GoldenEye версию Пети использовали? а какую версию продукта  ESET тестируете?
ESET Internet Security 11.1.42.1  Про Петю не могу сказать, не знаю версию
Цитата
Евгений Каспаров написал:
ESET Internet Security 11.1.42.1  Про Петю не могу сказать, не знаю версию

посмотрю на виртуалке.


Вариант GoldenEye начинается с шифрования файлов пользователя, точно так же, как обычное вымогательство. Для каждого файла, который он шифрует, GoldenEye добавляет случайное 8-символьное расширение в конце.

Затем ransomware также модифицирует MBR (Master Boot Record) на жестком диске пользователя с помощью пользовательского загрузчика.

Как только эта операция заканчивается, отображается следующая заметка о выкупе. Имя файла: YOUR_FILES_ARE_ENCRYPTED.TXT.
Цитата
santy написал:
Вариант GoldenEye начинается с шифрования файлов пользователя, точно так же, как обычное вымогательство. Для каждого файла, который он шифрует, GoldenEye добавляет случайное 8-символьное расширение в конце.
Скорее всего это другой какой то... Поделитесь результатом теста)), а так же вариантом защиты средствами ESET
это скрин от GoldenEye



тестировал на корпоративной семерке.  7.0.2046
при включенном модуле Antiransomware (выключена постоянная защита и расширенная проверка памяти) блокируется запуск.

Time;Application;Operation;Target;Action;Rule;Additional information
05.04.2018 15:28:34;C:\Users\users\AppData\Roaming\{00020e9b-e497-46ea-bf98-7f99193da322}\raserver.exe;Potential ransomware behavior;;blocked;Ransomware activity detection;
------------
если отключить модуль Antiransomware, правило HIPS, с блокированием прямого доступа не помогает,
скорее всего оно предназначено не для блока записи в MBR, а для изменения файлов через прямой доступ к диску.
Цитата
santy написал:
скорее всего оно предназначено не для блока записи в MBR, а для изменения файлов через прямой доступ к диску.
Короче правилами HIPS здесь не обойтись, домашние продукты без сигнатурного детекта бессильны... А техподдержка про такое поведение знает??
Цитата
Евгений Каспаров написал:
Короче правилами HIPS здесь не обойтись, домашние продукты без сигнатурного детекта бессильны... А техподдержка про такое поведение знает??
HIPS не панацея от всех бед. Важны все защитные модули в комплексе.
Читают тему (гостей: 7)