Защита от вирусных шифровщиков с помощью HIPS

RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Пред. 1 ... 3 4 5 6 7 ... 12 След.
нет, у меня сработало только когда прямые пути указаны. для конечных файлов и для конечных приложений. это на ESS 5.

Цитата
25.09.2014 17:07:52 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\***\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован test_hips Удалить файл
Изменено: santy - 25.09.2014 14:10:14
а на ESS7 работает, если указать непрямой путь через два слеша для конечных приложений, и если прямой путь на конечные файлы
при запуске из фара, тотала.

Цитата
25.09.2014 17:10:25    C:\WINDOWS\system32\cmd.exe    Получить доступ к файлу    C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp  
определенный доступ заблокирован    block run cmd    Удалить файл

а если просто пытаться изменить (переименовать) файл  из тотала или фара, то будет работать путь через \\
------------
Виктор, получается что на семерке (системе) правило работает если путь непрямой и для конечных файлов и для конечных приложений одновременно?
Изменено: santy - 25.09.2014 14:16:35
Разобрался, правило работает на Windows XP только так: C:\DOCUME~1\\LOCALS~1\Temp\pubring.tmp или C:\DOCUME~1\\LOCALS~1\Temp\* (чтобы и ренейм файл не создавался)
Сейчас на семерке проверю.
Изменено: Виктор - 25.09.2014 14:56:55
Windows 8.1 работает.

Исходные приложения:
   для всех

Конечные файлы:
   C:\Users\\AppData\Local\Temp\pubring.tmp желательно \*

Конечные приложения:
   C:\Users\\AppData\Local\Temp\1.cmd
Изменено: Виктор - 25.09.2014 14:36:09
Теперь нужна фактическая задача, а то я не понял насчет ренейма и папки TEMP
Можно в принципе выбрать защищаемые папки и все. Или известно поведение файла шифровальщика?
да, поведение бат-енкодера известно. пока что ключевая пара pubring.gpg/secring.gpg создается в папке %temp%,
в данном случае достаточно только защитить пересоздание ключа pubring.gpg.

если будет известный ключ в этой папке, то шифрование пойдет известным ключом. так что все можно потом расшифровать.

http://chklst.ru/forum/discussion/532/bat-encoder

если же вообще ключа не будет, тогда ключ не создается совсем, в этом случае, думаю и шифрование не состоится, или состоится но с нулевым ключом.
---------
но надо проверить.
---------
(батник с с pubring.tmp я использовал просто чтобы потестить возможность создания правила для файлов cmd. т.е. к конкретному энкодеру это имеет самое малое отношение.)
Изменено: santy - 25.09.2014 16:18:09
Нашел исходную программу Gpg4win
Файлы она хранит здесь:
C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg и pubring.gpg.lock
C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg и secring.gpg.lock

Это если устанавливать программу. Вирусный файл в другом месте держит файлы.
В общем если указать эти файлы, файлы не шифруются.

Выбирать эти файлы исходным приложением, не работает.
Работает указание конечным приложением:
C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg
C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg

Как я понял вся суть работы шифровальщика, получить команды в cmd и затем через него шифровать и удалять не шифрованные исходные файлы.
Изменено: Виктор - 25.09.2014 16:47:46
бат-энкодер удаляет или переименовывает папку gnupg с ключами, если находит ее на диске,
далее все разворачивается в папке %temp%

вот фрагмент бат-энкодера

Цитата
cd "%TEMP%"
if exist "%temp%\paycrpt.bin" goto autoreply
echo paycrypt> "%temp%\paycrpt.bin"
cd "%appdata%"
rename "%APPDATA%\gnupg" gnupg_old%random%
attrib -s -h -r "%appdata%\gnupg\*.*"
attrib -s -h -r "%appdata%\gnupg"
del /f /q "%appdata%\gnupg\*.*"
rmdir /s /q "%appdata%\gnupg"
rename "%temp%\day.btc" iconv.dll
cd "%temp%"

он свои модули для шифрования подкачивает. в общем то нужны два. gpg.exe и iconv.dll
это чистые файлы из GnuPG версии 1.4.18

Gpg4win использует версию GnuPG 2.0.26
http://www.gpg4win.org/
https://www.gnupg.org/download/index.html

по защите от него проверено, что достаточно защитить pubring.gpg (все приложения, действия удалить, изменить для конечного файла,  для всех конечных приложений) и два слэша работают в этом правиле.

но если есть желание проверить. проверяй. только нужен свежий js из тех, что юзеры запускают из почтовых вложений.
чем больше тестов тем лучше.
Изменено: santy - 25.09.2014 17:02:11
Завтра попробую.
Пока вопрос, как следить за файлами из любой папки, если вдруг папка TEMP будет изменена.
Пред. 1 ... 3 4 5 6 7 ... 12 След.
Читают тему (гостей: 2)