Защита от вирусных шифровщиков с помощью HIPS

RSS

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 05:47:37

Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...

Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Пред. 1 ... 3 4 5 6 7 ... 12 След.

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 25.09.2014 14:09:28

нет, у меня сработало только когда прямые пути указаны. для конечных файлов и для конечных приложений. это на ESS 5.

Цитата
25.09.2014 17:07:52 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\***\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован test_hips Удалить файл

Изменено: santy - 25.09.2014 14:10:14

[ Как создать образ автозапуска? ]

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 25.09.2014 14:14:19

а на ESS7 работает, если указать непрямой путь через два слеша для конечных приложений, и если прямой путь на конечные файлы
при запуске из фара, тотала.

Цитата
25.09.2014 17:10:25 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован block run cmd Удалить файл

а если просто пытаться изменить (переименовать) файл из тотала или фара, то будет работать путь через \\
------------

[ Как создать образ автозапуска? ]

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 25.09.2014 14:15:50

Виктор, получается что на семерке (системе) правило работает если путь непрямой и для конечных файлов и для конечных приложений одновременно?

Изменено: santy - 25.09.2014 14:16:35

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 14:19:47

Разобрался, правило работает на Windows XP только так: C:\DOCUME~1\\LOCALS~1\Temp\pubring.tmp или C:\DOCUME~1\\LOCALS~1\Temp\* (чтобы и ренейм файл не создавался)
Сейчас на семерке проверю.

Изменено: Виктор - 25.09.2014 14:56:55

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 14:34:28

Windows 8.1 работает.

Исходные приложения:
для всех

Конечные файлы:
C:\Users\\AppData\Local\Temp\pubring.tmp желательно \*

Конечные приложения:
C:\Users\\AppData\Local\Temp\1.cmd

Изменено: Виктор - 25.09.2014 14:36:09

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 14:40:55

Теперь нужна фактическая задача, а то я не понял насчет ренейма и папки TEMP
Можно в принципе выбрать защищаемые папки и все. Или известно поведение файла шифровальщика?

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 25.09.2014 16:17:14

да, поведение бат-енкодера известно. пока что ключевая пара pubring.gpg/secring.gpg создается в папке %temp%,
в данном случае достаточно только защитить пересоздание ключа pubring.gpg.

если будет известный ключ в этой папке, то шифрование пойдет известным ключом. так что все можно потом расшифровать.

http://chklst.ru/forum/discussion/532/bat-encoder

если же вообще ключа не будет, тогда ключ не создается совсем, в этом случае, думаю и шифрование не состоится, или состоится но с нулевым ключом.
---------
но надо проверить.
---------
(батник с с pubring.tmp я использовал просто чтобы потестить возможность создания правила для файлов cmd. т.е. к конкретному энкодеру это имеет самое малое отношение.)

Изменено: santy - 25.09.2014 16:18:09

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 16:38:37

Нашел исходную программу Gpg4win
Файлы она хранит здесь:
C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg и pubring.gpg.lock
C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg и secring.gpg.lock

Это если устанавливать программу. Вирусный файл в другом месте держит файлы.
В общем если указать эти файлы, файлы не шифруются.

Выбирать эти файлы исходным приложением, не работает.
Работает указание конечным приложением:
C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg
C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg

Как я понял вся суть работы шифровальщика, получить команды в cmd и затем через него шифровать и удалять не шифрованные исходные файлы.

Изменено: Виктор - 25.09.2014 16:47:46

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 25.09.2014 16:54:29

бат-энкодер удаляет или переименовывает папку gnupg с ключами, если находит ее на диске,
далее все разворачивается в папке %temp%

вот фрагмент бат-энкодера

Цитата
cd "%TEMP%" if exist "%temp%\paycrpt.bin" goto autoreply echo paycrypt> "%temp%\paycrpt.bin" cd "%appdata%" rename "%APPDATA%\gnupg" gnupg_old%random% attrib -s -h -r "%appdata%\gnupg\." attrib -s -h -r "%appdata%\gnupg" del /f /q "%appdata%\gnupg\." rmdir /s /q "%appdata%\gnupg" rename "%temp%\day.btc" iconv.dll cd "%temp%"

он свои модули для шифрования подкачивает. в общем то нужны два. gpg.exe и iconv.dll
это чистые файлы из GnuPG версии 1.4.18

Gpg4win использует версию GnuPG 2.0.26
http://www.gpg4win.org/
https://www.gnupg.org/download/index.html

по защите от него проверено, что достаточно защитить pubring.gpg (все приложения, действия удалить, изменить для конечного файла, для всех конечных приложений) и два слэша работают в этом правиле.

но если есть желание проверить. проверяй. только нужен свежий js из тех, что юзеры запускают из почтовых вложений.
чем больше тестов тем лучше.

Изменено: santy - 25.09.2014 17:02:11

[ Как создать образ автозапуска? ]

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 25.09.2014 17:00:40

Завтра попробую.
Пока вопрос, как следить за файлами из любой папки, если вдруг папка TEMP будет изменена.

Пред. 1 ... 3 4 5 6 7 ... 12 След.