нет, у меня сработало только когда прямые пути указаны. для конечных файлов и для конечных приложений. это на ESS 5.
Цитата
25.09.2014 17:07:52 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\***\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован test_hips Удалить файл
а на ESS7 работает, если указать непрямой путь через два слеша для конечных приложений, и если прямой путь на конечные файлы при запуске из фара, тотала.
Цитата
25.09.2014 17:10:25 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован block run cmd Удалить файл
а если просто пытаться изменить (переименовать) файл из тотала или фара, то будет работать путь через \\ ------------
Разобрался, правило работает на Windows XP только так: C:\DOCUME~1\\LOCALS~1\Temp\pubring.tmp или C:\DOCUME~1\\LOCALS~1\Temp\* (чтобы и ренейм файл не создавался) Сейчас на семерке проверю.
Теперь нужна фактическая задача, а то я не понял насчет ренейма и папки TEMP Можно в принципе выбрать защищаемые папки и все. Или известно поведение файла шифровальщика?
да, поведение бат-енкодера известно. пока что ключевая пара pubring.gpg/secring.gpg создается в папке %temp%, в данном случае достаточно только защитить пересоздание ключа pubring.gpg.
если будет известный ключ в этой папке, то шифрование пойдет известным ключом. так что все можно потом расшифровать.
если же вообще ключа не будет, тогда ключ не создается совсем, в этом случае, думаю и шифрование не состоится, или состоится но с нулевым ключом. --------- но надо проверить. --------- (батник с с pubring.tmp я использовал просто чтобы потестить возможность создания правила для файлов cmd. т.е. к конкретному энкодеру это имеет самое малое отношение.)
Нашел исходную программу Gpg4win Файлы она хранит здесь: C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg и pubring.gpg.lock C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg и secring.gpg.lock
Это если устанавливать программу. Вирусный файл в другом месте держит файлы. В общем если указать эти файлы, файлы не шифруются.
Выбирать эти файлы исходным приложением, не работает. Работает указание конечным приложением: C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg
Как я понял вся суть работы шифровальщика, получить команды в cmd и затем через него шифровать и удалять не шифрованные исходные файлы.
бат-энкодер удаляет или переименовывает папку gnupg с ключами, если находит ее на диске, далее все разворачивается в папке %temp%
вот фрагмент бат-энкодера
Цитата
cd "%TEMP%" if exist "%temp%\paycrpt.bin" goto autoreply echo paycrypt> "%temp%\paycrpt.bin" cd "%appdata%" rename "%APPDATA%\gnupg" gnupg_old%random% attrib -s -h -r "%appdata%\gnupg\*.*" attrib -s -h -r "%appdata%\gnupg" del /f /q "%appdata%\gnupg\*.*" rmdir /s /q "%appdata%\gnupg" rename "%temp%\day.btc" iconv.dll cd "%temp%"
он свои модули для шифрования подкачивает. в общем то нужны два. gpg.exe и iconv.dll это чистые файлы из GnuPG версии 1.4.18
Gpg4win использует версию GnuPG 2.0.26
по защите от него проверено, что достаточно защитить pubring.gpg (все приложения, действия удалить, изменить для конечного файла, для всех конечных приложений) и два слэша работают в этом правиле.
но если есть желание проверить. проверяй. только нужен свежий js из тех, что юзеры запускают из почтовых вложений. чем больше тестов тем лучше.
