Защита от вирусных шифровщиков с помощью HIPS

RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Пред. 1 ... 5 6 7 8 9 ... 12 След.
1.
Цитата
На Касперском пострадавший выложил шифровальщика, куда скинуть?
только в личные сообщения.

2.
Цитата
C:\Windows\System32\wscript.exe
это приложение блокировать нельзя, поскольку оно будет обрабатывать и легальные js
в текущем варианте бат энкодера (от 01.10.2014) используется данный ключ для шифрования secring.gpg
keybtc (keybtc) <keybtc@gmail.com>
0xAAB62875
отпечаток: EC80 5D63 134E B513 86FB B2DB 852C 16FC AAB6 2875
подключ: 0xA3CE7DBE

Цитата
:public key packet:
version 4, algo 1, created 1407221140, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: 852C16FCAAB62875
:user ID packet: "keybtc (keybtc) <keybtc@gmail.com>"
:signature packet: algo 1, keyid 852C16FCAAB62875
version 4, created 1407221140, md5len 0, sigclass 0x13
digest algo 2, begin of digest 97 2e
hashed subpkt 2 len 4 (sig created 2014-08-05)
hashed subpkt 27 len 1 (key flags: 03)
hashed subpkt 11 len 5 (pref-sym-algos: 9 8 7 3 2)
hashed subpkt 21 len 5 (pref-hash-algos: 8 2 9 10 11)
hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
hashed subpkt 30 len 1 (features: 01)
hashed subpkt 23 len 1 (key server preferences: 80)
subpkt 16 len 8 (issuer key ID 852C16FCAAB62875)
data: [2048 bits]
:public sub key packet:
version 4, algo 1, created 1407221140, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: F2075C4EA3CE7DBE
:signature packet: algo 1, keyid 852C16FCAAB62875
version 4, created 1407221140, md5len 0, sigclass 0x18
digest algo 2, begin of digest 0a 77
hashed subpkt 2 len 4 (sig created 2014-08-05)
hashed subpkt 27 len 1 (key flags: 0C)
subpkt 16 len 8 (issuer key ID 852C16FCAAB62875)
data: [2045 bits]

File: C:\Documents and Settings\safety\Local Settings\Temp\impubkey.keybtc

правило защиты %temp%\pubring.gpg работает.

http://chklst.ru/forum/discussion/532/bat-encoder
Если запрещаем конечный файл: C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe (утилита безвозвратного удаления файлов)
Файлы шифруются но оригиналы не удаляются, и папка C:\Documents and Settings\%USERNAME%\Application Data\gnupg остается полной.
будут переименовывать sdelete всякий раз.
Изменено: santy - 03.10.2014 07:19:55
Вот само зло наверно:

C:\Documents and Settings\%USERNAME%\Local Settings\Temp\j13544q130b.js (рандомный, скачивает с интернета исходники вируса, через прокси тунель)
C:\Documents and Settings\%USERNAME%\Local Settings\Temp\keyb.cmd
C:\Documents and Settings\%USERNAME%\Local Settings\Temp\bitdata.cmd
Скрытый текст
Изменено: Виктор - 03.10.2014 07:32:49
зла как такого здесь нет. просто идет пофайловое шифрование документов пользователя.

в последнем варианте от 01_10_2014 используется keyb.cmd.
в ранних вариантах были keybtc.bat, paybtc.bat, clicrypt.bat

отличаются они друг от друга мало чем. вначале переименованы файлы, которые скачаны из сети в исполняемые.
затем формируется публик ключ, которым будет шифроваться secring.gpg из ключевой пары, созданной на стороне юзеры,
после того как создана пара, secring.gpg шифруется этим ключом, и его остатки затираются с помощью sdelete.exe
затем идет шифрование документов пользователя по всем обнаруженным дискам.

после завершения шифрования формируется почтовое сообщение, которое будет отправлена по найденным адресным книгам

в завершении все зачищается, остаются KEY.PRIVATE в котором хранится secring.gpg и UNIQUE.PRIVATE в котором зашифрован список документов пользователя, которые были зашифрованы энкодером.
Изменено: santy - 03.10.2014 07:09:08
Кстати как Вы ключ secring.gpg целым оставили?
У меня он всегда 0 Кб
Изменено: Виктор - 03.10.2014 07:00:40
Цитата
Виктор пишет:

Кстати как Вы ключ secring.gpg целым оставили?
У меня он всегда 0 Кб
а где у меня secring.gpg? того что очень нужен, нету.  :)  . остается secring.gpg.gpg, который потом переименуется в KEY.PRIVATE.
а так я здесь описал способ защиты.
http://chklst.ru/forum/discussion/532/bat-encoder#Item_1
Изменено: santy - 03.10.2014 07:09:27
Не дочитал выше пост:D
А про ключ я там вычитал:

результат:
файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей:)
все просто. скачиваем пару:
http://chklst.ru/forum/docs/key/keygpg.rar
извлекаем ключи. pubring.gpg добавляем в %temp% юзера и защищаем в HIPS от перезаписи и удаления. secring.gpg хранится у нас.
Изменено: santy - 03.10.2014 07:16:10
Пред. 1 ... 5 6 7 8 9 ... 12 След.
Читают тему (гостей: 1)