Защита от вирусных шифровщиков с помощью HIPS

RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Пред. 1 ... 4 5 6 7 8 ... 12 След.
пока все темп разворачивается, как дальше будет - неизвестно.
нет хороших разведчиков на диком ЗАпаде. :)
можно прямо в фаре открыть папку ТЕМП (очистить предварительно) и следить за ней, откопировать, то что успеешь  :)  потому что по завершении шифрования все лишнее будет удалено. остаются только KEY.PRIVATE, KEY.UNIQUE и еще несколько файлов_доков, объявлений.

разумеется, тестировать на виртуалке.
Изменено: santy - 25.09.2014 17:06:58
На Windows XP работает только так:

Цитата
Исходные приложения:
для всех

Конечные файлы:
C:\DOCUME~1\\Application Data\gnupg\*
C:\DOCUME~1\\LOCALS~1\Temp\pubring.gpg
C:\DOCUME~1\\LOCALS~1\Temp\secring.gpg
Document Settings нужно сокращать в DOCUME~1
Application Data нельзя сокращать в APPLIC~1
Local Settengs нужно сокращать в LOCALS~1

Доступ к этим файлам не получит ни одно приложение, где бы оно не было.
И само приложение не сможет создать файлы в этих папках.

Не хватает возможности использовать маску *.gpg тогда было бы намного серьезнее.
Еще лучше если во всей папке Temp или Application Data запрещать маски *.gpg
Изменено: Виктор - 26.09.2014 04:26:47
маска на .gpg здесь особенно не нужна. все равно ключи при их создании gpg.exe будут с именами pubring.gpg, secring.gpg
это если касается данного типа шифровальщиков. в других случаях это скорее всего было бы полезным.
----------
C:\DOCUME~1\\Application Data\gnupg\*  эту папку нет необходимости жестко защищать, или надо настраивать, кому с ней разрешено работать, поскольку это рабочая папка для GnuPG,  если человек им пользуется. в ней могут создаваться новые ключи, эти ключи импортироваться в связки публичных и секретных ключей.
(хотя хранить в ней секретные ключи конечно не нужно. уведут.)
Изменено: santy - 26.09.2014 06:04:56
проверил для 8.1, действительно это правило (все исходные, конечный файл, конечное приложение) работает с двумя слэшами для конечного файла и для конечного приложения.

Цитата
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:03:26    C:\Program Files\Far\Far.exe    Получить доступ к файлу  C:\Users\***\AppData\Local\Temp\pubring.gpg    определенный доступ заблокирован    block bat-encoder    Выполнить запись в файл

cmd-ник делал копию файла pubring.tmp в pubring.tmp.old и пытался удалить pubring.tmp
действительно, не хватает правила на конечные файлы и конечные приложения  по маске,
чтобы задавать например конечное приложение как *.cmd

видимо, это должно работать и для Win7.
(для XP не прошел фокус с сокращенным именем пути и двумя слэшами.)
проверил на Win7 & ESS 8b, так же работает правило с двойным слэшем.
все приложения (конечный файл (через слэш), конечное приложение (через слэш))

Цитата
26.09.2014 15:31:12 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test hips Delete file
26.09.2014 15:31:12 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test hips Delete file

+
на ESS 8 работает правило с масками

Цитата
Source applications:
for all

Target files:
c:\users\\appdata\local\temp\pubring.tmp

Target applications:
c:\users\\appdata\local\temp\test_*.*
--------------------
26.09.2014 15:44:57 C:\Windows\System32\cmd.exe Get access to
file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test_hips.bat Delete file
26.09.2014 15:44:57 C:\Windows\System32\cmd.exe Get access to
file C:\Users\**\AppData\Local\Temp\pubring.tmp some access
blocked test_hips.bat Delete file

+
такое работает в ESS 8, маска для конечных приложений. *.bat например.

Цитата
26.09.2014 16:07:55    C:\Windows\System32\cmd.exe    Get access to file    C:\Users\***\AppData\Local\Temp\pubring.tmp    some access
blocked    test_hips.bat    Delete file
26.09.2014 16:07:55    C:\Windows\System32\cmd.exe    Get access to file    C:\Users\***\AppData\Local\Temp\pubring.tmp    some access
blocked    test_hips.bat    Delete file
----------
Source applications:
   for all

Target files:
   c:\users\\appdata\local\temp\pubring.tmp

Target applications:
   c:\users\\appdata\local\temp\*.bat
Изменено: santy - 26.09.2014 13:13:38
Цитата
(для XP не прошел фокус с сокращенным именем пути и двумя слэшами.)
Какой путь был?

Цитата
cmd-ник делал копию файла
Тут да... если 1 файл указан, его копировать можно, просто правила не точные, была бы еще галка на запрет копирования при доступе к этому файлу.
Изменено: Виктор - 27.09.2014 16:43:25
bat encoder слегка модифицировался (смотрел вариант от 26.09.2014), теперь используются два ключа на рандомный выбор (AAB62875/A3CE7DBE и 3ED78E85/F05CF9EE) для шифрования secring.gpg из ключевой пары, созданной на стороне юзера.
вместо "taskmgr.exe" модуль gpg.exe (скачивается из сети) теперь называется "svchost.exe".
сцена по прежнему разворачивается в папке %temp% пользователя.
и по прежнему актуально блокирующее правило защиты от перезаписи и удаления для конечного файла %temp%\pubring.gpg
Изменено: santy - 27.09.2014 19:33:46
На Касперском пострадавший выложил шифровальщика, куда скинуть?
Весит всего 1,4 Кб использует C:\WINDOWS\system32\wscript.exe работает через .js (Java) зашифровывает документы и изображения на всех жестких дисках и флешках.

Обработчик команд Windows: C:\WINDOWS\system32\wscript.exe
Утилита редактирования системного реестра из командной строки: C:\WINDOWS\system32\reg.exe
Microsoft ® Windows Based Script Host: C:\WINDOWS\system32\cmd.exe
Attribute Utility: C:\WINDOWS\system32\attrib.exe
Служебная программа для поиска строк (QGREP): C:\WINDOWS\system32\findstr.exe
Change CodePage Utility: C:\WINDOWS\system32\chcp.com
Принудительное завершение процесса: C:\WINDOWS\system32\taskkill.exe

Возможно ключ или создание ключа: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\keybtc.exe
Поддельный системный файл: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\svchost.exe
Поддельный системный файл: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\taskmngr.exe
Файл подчистки, возможно удаления оригинальных файлов: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\sdelete.exe (утилита безвозвратного удаления файлов)
Какой-то тунель: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\stunnel.exe (stunnel - multiplatform SSL tunneling proxy)
bitdata.cmd + keyb.cmd

Скан-копии счетов.zip
Счета н.12, н.124 - ЗАО НПО Берег - поставка противопожарного оборудования (систем) - рукава, огнетушители, системы пожаротушения от 10.2014.dосх .js

Скрытый текст

Цитата
Исходные приложения:
для всех

Конечные файлы:
C:\DOCUME~1\\LOCALS~1\Temp\bitdata.cmd
C:\DOCUME~1\\LOCALS~1\Temp\pubring.gpg
C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe
Изменено: Виктор - 03.10.2014 06:33:48
Достаточно блокирующего HIPS правила:

Цитата
Исходные приложения:
для всех

Конечные приложения:
C:\Windows\System32\wscript.exe
Нельзя использовать правила с запросом. Не корректно блокируются действия при запросе (т.к. необходимо указывать все системные приложения, с которыми взаимодействует вирус)
Изменено: Виктор - 02.10.2014 15:29:49
Пред. 1 ... 4 5 6 7 8 ... 12 След.
Читают тему (гостей: 3)