Выбрать дату в календареВыбрать дату в календаре

Защита от вирусных шифровщиков с помощью HIPS
Если запрещаем конечный файл: [B]C:\DOCUME~1\\LOCALS~1\Temp\[COLOR=#FF0000]sdelete.exe[/COLOR][/B] (утилита безвозвратного удаления файлов)
Файлы шифруются но оригиналы не удаляются, и папка [B]C:\Documents and Settings\%USERNAME%\Application Data\gnupg[/B] остается полной.
[ Закрыто] Шифровальщик RSA-1024 (выложил пострадавший)
Спасибо.
Этот вирус зашифровывает документы, изображения, архивы, на всех жестких дисках и флешках.
Защита от вирусных шифровщиков с помощью HIPS
Достаточно блокирующего HIPS правила:

[QUOTE]Исходные приложения:
для всех

Конечные приложения:
[COLOR=#0000FF]C:\Windows\System32\wscript.exe[/COLOR][/QUOTE]
[COLOR=#FF0000]Нельзя использовать правила с запросом.[/COLOR] Не корректно блокируются действия при запросе (т.к. необходимо указывать все системные приложения, с которыми взаимодействует вирус)
Изменено: Виктор - 02.10.2014 15:29:49
[ Закрыто] Шифровальщик RSA-1024 (выложил пострадавший)
Отправил, тема: Virus шифровальщик .js
Пароль к архиву .7z - [B]virus[/B]
[ Закрыто] Шифровальщик RSA-1024 (выложил пострадавший)
Кому из аналитиков отправить?
О вирусе шифровальщике, в теме: http://forum.esetnod32.ru/messages/forum9/topic11235/message79942/#message79942
Защита от вирусных шифровщиков с помощью HIPS
На Касперском пострадавший выложил шифровальщика, куда скинуть?
Весит всего [B]1,4 Кб[/B] использует [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]wscript.exe[/COLOR] работает через .js (Java) зашифровывает документы и изображения на всех жестких дисках и флешках.

Обработчик команд Windows: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]wscript.exe[/COLOR]
Утилита редактирования системного реестра из командной строки: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]reg.exe[/COLOR]
Microsoft ® Windows Based Script Host: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]cmd.exe[/COLOR]
Attribute Utility: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]attrib.exe[/COLOR]
Служебная программа для поиска строк (QGREP): [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]findstr.exe[/COLOR]
Change CodePage Utility: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]chcp.com[/COLOR]
Принудительное завершение процесса: [COLOR=#197B30]C:\WINDOWS\system32\[/COLOR][COLOR=#0000FF]taskkill.exe[/COLOR]

Возможно ключ или создание ключа: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]keybtc.exe[/COLOR]
Поддельный системный файл: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]svchost.exe[/COLOR]
Поддельный системный файл: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]taskmngr.exe[/COLOR]
Файл подчистки, возможно удаления оригинальных файлов: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]sdelete.exe[/COLOR] (утилита безвозвратного удаления файлов)
Какой-то тунель: [COLOR=#000000]C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[/COLOR][COLOR=#FF0000]stunnel.exe[/COLOR] (stunnel - multiplatform SSL tunneling proxy)
[COLOR=#FF0000]bitdata.cmd + keyb.cmd[/COLOR]

[COLOR=#EE1D24][B]Скан-копии счетов.zip[/B][/COLOR]
[COLOR=#FF0000]Счета н.12, н.124 - ЗАО НПО Берег - поставка противопожарного оборудования (систем) - рукава, огнетушители, системы пожаротушения от 10.2014.dосх .js[/COLOR]

Скрытый текст

[QUOTE]Исходные приложения:
для всех

Конечные файлы:
C:\DOCUME~1\\LOCALS~1\Temp\bitdata.cmd
C:\DOCUME~1\\LOCALS~1\Temp\pubring.gpg
C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe[/QUOTE]
Изменено: Виктор - 03.10.2014 06:33:48
Защита от вирусных шифровщиков с помощью HIPS
[QUOTE](для XP не прошел фокус с сокращенным именем пути и двумя слэшами.)[/QUOTE]
Какой путь был?

[QUOTE]cmd-ник делал копию файла[/QUOTE]
Тут да... если 1 файл указан, его копировать можно, просто правила не точные, была бы еще галка на запрет копирования при доступе к этому файлу.
Изменено: Виктор - 27.09.2014 16:43:25
Защита от вирусных шифровщиков с помощью HIPS
На Windows XP работает только так:

[QUOTE]Исходные приложения:
для всех

Конечные файлы:
C:\[COLOR=#0072BC]DOCUME~1[/COLOR]\\[COLOR=#0000FF]Application Data[/COLOR]\gnupg\*
C:\[COLOR=#0072BC]DOCUME~1[/COLOR]\\[COLOR=#91278F]LOCALS~1[/COLOR]\Temp\pubring.gpg
C:\[COLOR=#0072BC]DOCUME~1[/COLOR]\\[COLOR=#91278F]LOCALS~1[/COLOR]\Temp\secring.gpg[/QUOTE]
[COLOR=#000000]Document Settings[/COLOR] нужно сокращать в [COLOR=#0072BC]DOCUME~1[/COLOR]
[COLOR=#0000FF]Application Data[/COLOR] нельзя сокращать в [COLOR=#FF0000]APPLIC~1[/COLOR]
[COLOR=#91278F]Local Settengs[/COLOR] нужно сокращать в [COLOR=#045F20]LOCALS~1[/COLOR]

Доступ к этим файлам не получит ни одно приложение, где бы оно не было.
И само приложение не сможет создать файлы в этих папках.

Не хватает возможности использовать маску [B]*.gpg[/B] тогда было бы намного серьезнее.
Еще лучше если во всей папке Temp или Application Data запрещать маски [B]*.gpg[/B]
Изменено: Виктор - 26.09.2014 04:26:47
Защита от вирусных шифровщиков с помощью HIPS
Завтра попробую.
Пока вопрос, как следить за файлами из любой папки, если вдруг папка TEMP будет изменена.
Защита от вирусных шифровщиков с помощью HIPS
Нашел исходную программу Gpg4win
Файлы она хранит здесь:
[COLOR=#0000FF]C:\Documents and Settings\Virlab\Application Data\gnupg\[/COLOR][COLOR=#FF0000]pubring.gpg[/COLOR] и [COLOR=#FF0000]pubring.gpg.lock[/COLOR]
[COLOR=#0000FF]C:\Documents and Settings\Virlab\Application Data\gnupg\[/COLOR][COLOR=#FF0000]secring.gpg[/COLOR] и [COLOR=#FF0000]secring.gpg.lock[/COLOR]

Это если устанавливать программу. Вирусный файл в другом месте держит файлы.
В общем если указать эти файлы, файлы не шифруются.

Выбирать эти файлы исходным приложением, [B]не работает[/B].
Работает указание конечным приложением:
[COLOR=#0000FF]C:\Documents and Settings\Virlab\Application Data\gnupg\[/COLOR][COLOR=#FF0000]pubring.gpg[/COLOR]
[COLOR=#0000FF]C:\Documents and Settings\Virlab\Application Data\gnupg\[/COLOR][COLOR=#FF0000]secring.gpg[/COLOR]

Как я понял вся суть работы шифровальщика, получить команды в [B]cmd[/B] и затем через него шифровать и удалять не шифрованные исходные файлы.
Изменено: Виктор - 25.09.2014 16:47:46