Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Полезная информация

Защита от вирусных шифровщиков с помощью HIPS

RSS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 05:47:37
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Пред. 1 ... 3 4 5 6 7 ... 12 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 14:09:28
нет, у меня сработало только когда прямые пути указаны. для конечных файлов и для конечных приложений. это на ESS 5.

Цитата
25.09.2014 17:07:52 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\***\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован test_hips Удалить файл
Изменено: santy - 25.09.2014 14:10:14
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 14:14:19
а на ESS7 работает, если указать непрямой путь через два слеша для конечных приложений, и если прямой путь на конечные файлы
при запуске из фара, тотала.

Цитата
25.09.2014 17:10:25    C:\WINDOWS\system32\cmd.exe    Получить доступ к файлу    C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp  
определенный доступ заблокирован    block run cmd    Удалить файл

а если просто пытаться изменить (переименовать) файл  из тотала или фара, то будет работать путь через \\
------------
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 14:15:50
Виктор, получается что на семерке (системе) правило работает если путь непрямой и для конечных файлов и для конечных приложений одновременно?
Изменено: santy - 25.09.2014 14:16:35
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 14:19:47
Разобрался, правило работает на Windows XP только так: C:\DOCUME~1\\LOCALS~1\Temp\pubring.tmp или C:\DOCUME~1\\LOCALS~1\Temp\* (чтобы и ренейм файл не создавался)
Сейчас на семерке проверю.
Изменено: Виктор - 25.09.2014 14:56:55
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 14:34:28
Windows 8.1 работает.

Исходные приложения:
   для всех

Конечные файлы:
   C:\Users\\AppData\Local\Temp\pubring.tmp желательно \*

Конечные приложения:
   C:\Users\\AppData\Local\Temp\1.cmd
Изменено: Виктор - 25.09.2014 14:36:09
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 14:40:55
Теперь нужна фактическая задача, а то я не понял насчет ренейма и папки TEMP
Можно в принципе выбрать защищаемые папки и все. Или известно поведение файла шифровальщика?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 16:17:14
да, поведение бат-енкодера известно. пока что ключевая пара pubring.gpg/secring.gpg создается в папке %temp%,
в данном случае достаточно только защитить пересоздание ключа pubring.gpg.

если будет известный ключ в этой папке, то шифрование пойдет известным ключом. так что все можно потом расшифровать.

http://chklst.ru/forum/discussion/532/bat-encoder

если же вообще ключа не будет, тогда ключ не создается совсем, в этом случае, думаю и шифрование не состоится, или состоится но с нулевым ключом.
---------
но надо проверить.
---------
(батник с с pubring.tmp я использовал просто чтобы потестить возможность создания правила для файлов cmd. т.е. к конкретному энкодеру это имеет самое малое отношение.)
Изменено: santy - 25.09.2014 16:18:09
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 16:38:37
Нашел исходную программу Gpg4win
Файлы она хранит здесь:
C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg и pubring.gpg.lock
C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg и secring.gpg.lock

Это если устанавливать программу. Вирусный файл в другом месте держит файлы.
В общем если указать эти файлы, файлы не шифруются.

Выбирать эти файлы исходным приложением, не работает.
Работает указание конечным приложением:
C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg
C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg

Как я понял вся суть работы шифровальщика, получить команды в cmd и затем через него шифровать и удалять не шифрованные исходные файлы.
Изменено: Виктор - 25.09.2014 16:47:46
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 16:54:29
бат-энкодер удаляет или переименовывает папку gnupg с ключами, если находит ее на диске,
далее все разворачивается в папке %temp%

вот фрагмент бат-энкодера

Цитата
cd "%TEMP%"
if exist "%temp%\paycrpt.bin" goto autoreply
echo paycrypt> "%temp%\paycrpt.bin"
cd "%appdata%"
rename "%APPDATA%\gnupg" gnupg_old%random%
attrib -s -h -r "%appdata%\gnupg\*.*"
attrib -s -h -r "%appdata%\gnupg"
del /f /q "%appdata%\gnupg\*.*"
rmdir /s /q "%appdata%\gnupg"
rename "%temp%\day.btc" iconv.dll
cd "%temp%"

он свои модули для шифрования подкачивает. в общем то нужны два. gpg.exe и iconv.dll
это чистые файлы из GnuPG версии 1.4.18

Gpg4win использует версию GnuPG 2.0.26
http://www.gpg4win.org/
https://www.gnupg.org/download/index.html

по защите от него проверено, что достаточно защитить pubring.gpg (все приложения, действия удалить, изменить для конечного файла,  для всех конечных приложений) и два слэша работают в этом правиле.

но если есть желание проверить. проверяй. только нужен свежий js из тех, что юзеры запускают из почтовых вложений.
чем больше тестов тем лучше.
Изменено: santy - 25.09.2014 17:02:11
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 17:00:40
Завтра попробую.
Пока вопрос, как следить за файлами из любой папки, если вдруг папка TEMP будет изменена.
 
Пред. 1 ... 3 4 5 6 7 ... 12 След.
Читают тему