Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

Защита от вирусных шифровщиков с помощью HIPS
Если запрещаем конечный файл: C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe (утилита безвозвратного удаления файлов)
Файлы шифруются но оригиналы не удаляются, и папка C:\Documents and Settings\%USERNAME%\Application Data\gnupg остается полной.
[ Закрыто] Шифровальщик RSA-1024 (выложил пострадавший)
Спасибо.
Этот вирус зашифровывает документы, изображения, архивы, на всех жестких дисках и флешках.
Защита от вирусных шифровщиков с помощью HIPS
Достаточно блокирующего HIPS правила:

Цитата
Исходные приложения:
для всех

Конечные приложения:
C:\Windows\System32\wscript.exe
Нельзя использовать правила с запросом. Не корректно блокируются действия при запросе (т.к. необходимо указывать все системные приложения, с которыми взаимодействует вирус)
Изменено: Виктор - 02.10.2014 15:29:49
[ Закрыто] Шифровальщик RSA-1024 (выложил пострадавший)
Отправил, тема: Virus шифровальщик .js
Пароль к архиву .7z - virus
[ Закрыто] Шифровальщик RSA-1024 (выложил пострадавший)
Кому из аналитиков отправить?
О вирусе шифровальщике, в теме: http://forum.esetnod32.ru/messages/forum9/topic11235/message79942/#message79942
Защита от вирусных шифровщиков с помощью HIPS
На Касперском пострадавший выложил шифровальщика, куда скинуть?
Весит всего 1,4 Кб использует C:\WINDOWS\system32\wscript.exe работает через .js (Java) зашифровывает документы и изображения на всех жестких дисках и флешках.

Обработчик команд Windows: C:\WINDOWS\system32\wscript.exe
Утилита редактирования системного реестра из командной строки: C:\WINDOWS\system32\reg.exe
Microsoft ® Windows Based Script Host: C:\WINDOWS\system32\cmd.exe
Attribute Utility: C:\WINDOWS\system32\attrib.exe
Служебная программа для поиска строк (QGREP): C:\WINDOWS\system32\findstr.exe
Change CodePage Utility: C:\WINDOWS\system32\chcp.com
Принудительное завершение процесса: C:\WINDOWS\system32\taskkill.exe

Возможно ключ или создание ключа: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\keybtc.exe
Поддельный системный файл: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\svchost.exe
Поддельный системный файл: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\taskmngr.exe
Файл подчистки, возможно удаления оригинальных файлов: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\sdelete.exe (утилита безвозвратного удаления файлов)
Какой-то тунель: C:\Documents and Settings\%USERNAME%\Local Settings\Temp\stunnel.exe (stunnel - multiplatform SSL tunneling proxy)
bitdata.cmd + keyb.cmd

Скан-копии счетов.zip
Счета н.12, н.124 - ЗАО НПО Берег - поставка противопожарного оборудования (систем) - рукава, огнетушители, системы пожаротушения от 10.2014.dосх .js

Скрытый текст

Цитата
Исходные приложения:
для всех

Конечные файлы:
C:\DOCUME~1\\LOCALS~1\Temp\bitdata.cmd
C:\DOCUME~1\\LOCALS~1\Temp\pubring.gpg
C:\DOCUME~1\\LOCALS~1\Temp\sdelete.exe
Изменено: Виктор - 03.10.2014 06:33:48
Защита от вирусных шифровщиков с помощью HIPS
Цитата
(для XP не прошел фокус с сокращенным именем пути и двумя слэшами.)
Какой путь был?

Цитата
cmd-ник делал копию файла
Тут да... если 1 файл указан, его копировать можно, просто правила не точные, была бы еще галка на запрет копирования при доступе к этому файлу.
Изменено: Виктор - 27.09.2014 16:43:25
Защита от вирусных шифровщиков с помощью HIPS
На Windows XP работает только так:

Цитата
Исходные приложения:
для всех

Конечные файлы:
C:\DOCUME~1\\Application Data\gnupg\*
C:\DOCUME~1\\LOCALS~1\Temp\pubring.gpg
C:\DOCUME~1\\LOCALS~1\Temp\secring.gpg
Document Settings нужно сокращать в DOCUME~1
Application Data нельзя сокращать в APPLIC~1
Local Settengs нужно сокращать в LOCALS~1

Доступ к этим файлам не получит ни одно приложение, где бы оно не было.
И само приложение не сможет создать файлы в этих папках.

Не хватает возможности использовать маску *.gpg тогда было бы намного серьезнее.
Еще лучше если во всей папке Temp или Application Data запрещать маски *.gpg
Изменено: Виктор - 26.09.2014 04:26:47
Защита от вирусных шифровщиков с помощью HIPS
Завтра попробую.
Пока вопрос, как следить за файлами из любой папки, если вдруг папка TEMP будет изменена.
Защита от вирусных шифровщиков с помощью HIPS
Нашел исходную программу Gpg4win
Файлы она хранит здесь:
C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg и pubring.gpg.lock
C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg и secring.gpg.lock

Это если устанавливать программу. Вирусный файл в другом месте держит файлы.
В общем если указать эти файлы, файлы не шифруются.

Выбирать эти файлы исходным приложением, не работает.
Работает указание конечным приложением:
C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg
C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg

Как я понял вся суть работы шифровальщика, получить команды в cmd и затем через него шифровать и удалять не шифрованные исходные файлы.
Изменено: Виктор - 25.09.2014 16:47:46