Размещено 27.11.2015 02:52:30
Имеется способ защиты от шифрования данных, отставляйте комментарии с вопросами.
Подождем одобрения модераторов.
Подождем одобрения модераторов.
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Защита от шифрования данных (решение)
1
Размещено 27.11.2015 06:25:08
Виктор,
если статья будет толковая, то добавим в раздел полезной информации,
если же очередное "ради поговорить только", то перенесем тему в известное место.
если статья будет толковая, то добавим в раздел полезной информации,
если же очередное "ради поговорить только", то перенесем тему в известное место.
Размещено 27.11.2015 06:42:34
Виктор,
1. Для каких продуктов - Endpoint, Home?
2. Для каких версий - актуальных, не актуальных?
3. Посредством какого модуля - HIPS, прочее?
4. Посредством только программных продуктов ESET, посредством системных компонентов или с использованием сторонних средств?
1. Для каких продуктов - Endpoint, Home?
2. Для каких версий - актуальных, не актуальных?
3. Посредством какого модуля - HIPS, прочее?
4. Посредством только программных продуктов ESET, посредством системных компонентов или с использованием сторонних средств?
Размещено 27.11.2015 16:33:04
NickM
Антивирус в любом случае нужен, так как скрипты остаются исполняемыми но для неопытных пользователей это действие скрыто.
Для модуля HIPS нужно слишком много правил и белый список доверенных программ.
Защита посредством системных компонентов, ключевое свойство - запрет на исполнение скриптов мышкой, а так же, запрет на исполнение скрипта внутри архива.
После фикса (fix), только системный администратор сможет запускать скрипты, и только в консоли (при условии неопытности пользователя).
santy
Как будет результат отпишу в ЛС.
Антивирус в любом случае нужен, так как скрипты остаются исполняемыми но для неопытных пользователей это действие скрыто.
Для модуля HIPS нужно слишком много правил и белый список доверенных программ.
Защита посредством системных компонентов, ключевое свойство - запрет на исполнение скриптов мышкой, а так же, запрет на исполнение скрипта внутри архива.
После фикса (fix), только системный администратор сможет запускать скрипты, и только в консоли (при условии неопытности пользователя).
santy
Как будет результат отпишу в ЛС.
Изменено: Виктор - 27.11.2015 16:44:02
Размещено 27.11.2015 17:30:24
Виктор,
есть хороший продукт, , как раз заточен против шифраторов. текущая версия его бесплатна, т.е. можно создать ключ safer (политики ограниченного запуска программ), и растиражировать бесплатно этот ключ на другие машины.
разработчик обновляет политики по ходу их создания, но чтобы обновиться, нужен платный Криптопревент (Премиум).
но и в бесплатном можно увидеть много хороших правил.
например такое *.pdf*.js будет блокировать запуск js:
Счета-фактуры_128-1 129-7_согласовано начальником отдела продаж_ТрансСнабКом_scanned by hewlett packard_162-10_95b21a9575c.рdf_.js
есть хороший продукт, , как раз заточен против шифраторов. текущая версия его бесплатна, т.е. можно создать ключ safer (политики ограниченного запуска программ), и растиражировать бесплатно этот ключ на другие машины.
разработчик обновляет политики по ходу их создания, но чтобы обновиться, нужен платный Криптопревент (Премиум).
но и в бесплатном можно увидеть много хороших правил.
например такое *.pdf*.js будет блокировать запуск js:
Счета-фактуры_128-1 129-7_согласовано начальником отдела продаж_ТрансСнабКом_scanned by hewlett packard_162-10_95b21a9575c.рdf_.js
Размещено 27.11.2015 21:02:31
Файлы .REG в виде текста:
При запуске файла открывается редактор вместо запуска команд "%1" %* и "%1" /S (и т.д.)
Файлы остаются исполняемыми, но в контекстном меню отсутствует пункт "Открыть".
Это только часть защиты, так же можно защитить .REG .BAT .CMD .VBS .VBE .JSE
Для файлов с расширением .JS |
|---|
| Windows Registry Editor Version 5.00 ;Включить отображение расширения файла [HKEY_CLASSES_ROOT\JSFile] "AlwaysShowExt"="" "BrowserFlags"=dword:00000008 ;По умолчанию открывать файл в редакторе [HKEY_CLASSES_ROOT\JSFile\Shell] @="Edit" ;Спрятать пункт "Открыть" в контекстном меню [HKEY_CLASSES_ROOT\JSFile\Shell\Open] "LegacyDisable"="" ;Спрятать пункт "Открыть в командной строке" в контекстном меню [HKEY_CLASSES_ROOT\JSFile\Shell\Open2] "LegacyDisable"="" |
Для файлов с расширением .SCR |
|---|
| Windows Registry Editor Version 5.00 ;Включить отображение расширения файла [HKEY_CLASSES_ROOT\scrfile] "AlwaysShowExt"="" "BrowserFlags"=dword:00000008 ;По умолчанию открывать файл в редакторе [HKEY_CLASSES_ROOT\scrfile\shell] @="edit" ;Спрятать пункт "Проверка" в контекстном меню [HKEY_CLASSES_ROOT\scrfile\shell\open] "LegacyDisable"="" ;Спрятать пункт "Настроить" в контекстном меню [HKEY_CLASSES_ROOT\scrfile\shell\config] "LegacyDisable"="" ;Спрятать пункт "Установить" в контекстном меню [HKEY_CLASSES_ROOT\scrfile\shell\install] "LegacyDisable"="" ;Добавить раздел "edit" для запуска файла по умолчанию в редакторе [HKEY_CLASSES_ROOT\scrfile\shell] [HKEY_CLASSES_ROOT\scrfile\shell\edit] [HKEY_CLASSES_ROOT\scrfile\shell\edit\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\ 54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\ 00 |
При запуске файла открывается редактор вместо запуска команд "%1" %* и "%1" /S (и т.д.)
Файлы остаются исполняемыми, но в контекстном меню отсутствует пункт "Открыть".
Это только часть защиты, так же можно защитить .REG .BAT .CMD .VBS .VBE .JSE
Размещено 30.11.2015 09:43:08
Виктор, с первого взгляда решение вполне реальное. Отключить так называемый интерактивный бездумный запуск скриптов, исполняемых файлов для пользователя - правильное решение. Увидеть бы полные правила, распространить на маленькую группу и протестировать в рабочей среде.
1
Читают тему