Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 675 676 677 678 679 680 681 682 683 684 685 ... 1784 След.
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.09.2014 12:37:50
проверил на Win7 & ESS 8b, так же работает правило с двойным слэшем.
все приложения (конечный файл (через слэш), конечное приложение (через слэш))

Цитата
26.09.2014 15:31:12 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test hips Delete file
26.09.2014 15:31:12 C:\Windows\System32\cmd.exe Get access to file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test hips Delete file

+
на ESS 8 работает правило с масками

Цитата
Source applications:
for all

Target files:
c:\users\\appdata\local\temp\pubring.tmp

Target applications:
c:\users\\appdata\local\temp\test_*.*
--------------------
26.09.2014 15:44:57 C:\Windows\System32\cmd.exe Get access to
file C:\Users\***\AppData\Local\Temp\pubring.tmp some access
blocked test_hips.bat Delete file
26.09.2014 15:44:57 C:\Windows\System32\cmd.exe Get access to
file C:\Users\**\AppData\Local\Temp\pubring.tmp some access
blocked test_hips.bat Delete file

+
такое работает в ESS 8, маска для конечных приложений. *.bat например.

Цитата
26.09.2014 16:07:55    C:\Windows\System32\cmd.exe    Get access to file    C:\Users\***\AppData\Local\Temp\pubring.tmp    some access
blocked    test_hips.bat    Delete file
26.09.2014 16:07:55    C:\Windows\System32\cmd.exe    Get access to file    C:\Users\***\AppData\Local\Temp\pubring.tmp    some access
blocked    test_hips.bat    Delete file
----------
Source applications:
   for all

Target files:
   c:\users\\appdata\local\temp\pubring.tmp

Target applications:
   c:\users\\appdata\local\temp\*.bat
Изменено: santy - 26.09.2014 13:13:38
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.09.2014 10:18:18
проверил для 8.1, действительно это правило (все исходные, конечный файл, конечное приложение) работает с двумя слэшами для конечного файла и для конечного приложения.

Цитата
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:05:46    C:\Windows\System32\cmd.exe    Получить доступ к файлу    C:\Users\***\AppData\Local\Temp\pubring.tmp  определенный доступ заблокирован    block bat-encoder    Удалить файл
26.09.2014 10:03:26    C:\Program Files\Far\Far.exe    Получить доступ к файлу  C:\Users\***\AppData\Local\Temp\pubring.gpg    определенный доступ заблокирован    block bat-encoder    Выполнить запись в файл

cmd-ник делал копию файла pubring.tmp в pubring.tmp.old и пытался удалить pubring.tmp
действительно, не хватает правила на конечные файлы и конечные приложения  по маске,
чтобы задавать например конечное приложение как *.cmd

видимо, это должно работать и для Win7.
(для XP не прошел фокус с сокращенным именем пути и двумя слэшами.)
[ Как создать образ автозапуска? ]
Перейти
Mozilla сама грузит рекламный сайт http://freemoney-blog.com
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.09.2014 06:26:43
скачайте актуальную версию uVS 3.83.1, потому что при выполнении скрипта в uVS 3.83 может быть ошибка.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C825554CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB42C6567A 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\DIGITALSITE\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF45E4595AE592435ECFA164AA99E85B55E78E13CF5D8D9F6C9144F56C3ED1E1ADC49C3FB6861B99574A2119EE87220D508744136A495F7496373 9 tr

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALS\BONANZADEALSIE.DLL
addsgn A7679B1928664D070E3CA68264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D956B2A906CC47E1649C9BD9F6307595F4659214E916FF807327C 64 Win32/DealPly.G [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEBROKER.EXE
zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\GOOPDATE.DLL
addsgn 79132211B9E9317E0AA1AB59229C1205DAFFF47DC4EA942D892B2942AF292811E11BC33D323D95EF21986C807B16497108D76D8421AF33118901AF37C4736119 64 Win32/DealPly.L [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEHANDLER.EXE
addsgn 1AFE2C9A5583E88CF42BC4BD0CF0034725629BFB89FA75766DABC7BC508FF229DF17482236DED34DAE49F0B0E7E27EB87D65184517DA3969C9F2645BD63F2A06 8 serv1

del %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1007319037-4219963268-17152214-500\$IX126Z1.EXE
delref FILES\BONANZADEALS\BONANZADEALSUPDATE.EXE
hide %SystemDrive%\PROGRAM FILES\UNLOCKER\UNINST.EXE
hide %SystemDrive%\PROGRAM FILES\COMMON FILES\ESTELAR - EXCEL TO VCARD & OUTLOOK\ESTELAR-VCARD-CONVERTER.EXE
hide %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\WINDSOLUTIONS\COPYTRANSCONTROLCENTER\APPLICATIONS\COPYTRANSCONTROLCENTER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\836D~1\APPDATA\ROAMING\DIGITA~2\UPDATE~1\UPDATE~1.EXE

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

; Bonanza Deals (remove only)
exec C:\Program Files\BonanzaDeals\uninst.exe" /uninstall
; Complitly
exec C:\Program Files\Complitly\unins000.exe

deldirex %SystemDrive%\PROGRAM FILES\BONANZADEALS

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.09.2014 05:59:31
маска на .gpg здесь особенно не нужна. все равно ключи при их создании gpg.exe будут с именами pubring.gpg, secring.gpg
это если касается данного типа шифровальщиков. в других случаях это скорее всего было бы полезным.
----------
C:\DOCUME~1\\Application Data\gnupg\*  эту папку нет необходимости жестко защищать, или надо настраивать, кому с ней разрешено работать, поскольку это рабочая папка для GnuPG,  если человек им пользуется. в ней могут создаваться новые ключи, эти ключи импортироваться в связки публичных и секретных ключей.
(хотя хранить в ней секретные ключи конечно не нужно. уведут.)
Изменено: santy - 26.09.2014 06:04:56
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 17:06:21
можно прямо в фаре открыть папку ТЕМП (очистить предварительно) и следить за ней, откопировать, то что успеешь  :)  потому что по завершении шифрования все лишнее будет удалено. остаются только KEY.PRIVATE, KEY.UNIQUE и еще несколько файлов_доков, объявлений.

разумеется, тестировать на виртуалке.
Изменено: santy - 25.09.2014 17:06:58
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 17:03:18
пока все темп разворачивается, как дальше будет - неизвестно.
нет хороших разведчиков на диком ЗАпаде. :)
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 16:54:29
бат-энкодер удаляет или переименовывает папку gnupg с ключами, если находит ее на диске,
далее все разворачивается в папке %temp%

вот фрагмент бат-энкодера

Цитата
cd "%TEMP%"
if exist "%temp%\paycrpt.bin" goto autoreply
echo paycrypt> "%temp%\paycrpt.bin"
cd "%appdata%"
rename "%APPDATA%\gnupg" gnupg_old%random%
attrib -s -h -r "%appdata%\gnupg\*.*"
attrib -s -h -r "%appdata%\gnupg"
del /f /q "%appdata%\gnupg\*.*"
rmdir /s /q "%appdata%\gnupg"
rename "%temp%\day.btc" iconv.dll
cd "%temp%"

он свои модули для шифрования подкачивает. в общем то нужны два. gpg.exe и iconv.dll
это чистые файлы из GnuPG версии 1.4.18

Gpg4win использует версию GnuPG 2.0.26
http://www.gpg4win.org/
https://www.gnupg.org/download/index.html

по защите от него проверено, что достаточно защитить pubring.gpg (все приложения, действия удалить, изменить для конечного файла,  для всех конечных приложений) и два слэша работают в этом правиле.

но если есть желание проверить. проверяй. только нужен свежий js из тех, что юзеры запускают из почтовых вложений.
чем больше тестов тем лучше.
Изменено: santy - 25.09.2014 17:02:11
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 16:17:14
да, поведение бат-енкодера известно. пока что ключевая пара pubring.gpg/secring.gpg создается в папке %temp%,
в данном случае достаточно только защитить пересоздание ключа pubring.gpg.

если будет известный ключ в этой папке, то шифрование пойдет известным ключом. так что все можно потом расшифровать.

http://chklst.ru/forum/discussion/532/bat-encoder

если же вообще ключа не будет, тогда ключ не создается совсем, в этом случае, думаю и шифрование не состоится, или состоится но с нулевым ключом.
---------
но надо проверить.
---------
(батник с с pubring.tmp я использовал просто чтобы потестить возможность создания правила для файлов cmd. т.е. к конкретному энкодеру это имеет самое малое отношение.)
Изменено: santy - 25.09.2014 16:18:09
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 14:15:50
Виктор, получается что на семерке (системе) правило работает если путь непрямой и для конечных файлов и для конечных приложений одновременно?
Изменено: santy - 25.09.2014 14:16:35
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.09.2014 14:14:19
а на ESS7 работает, если указать непрямой путь через два слеша для конечных приложений, и если прямой путь на конечные файлы
при запуске из фара, тотала.

Цитата
25.09.2014 17:10:25    C:\WINDOWS\system32\cmd.exe    Получить доступ к файлу    C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp  
определенный доступ заблокирован    block run cmd    Удалить файл

а если просто пытаться изменить (переименовать) файл  из тотала или фара, то будет работать путь через \\
------------
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 675 676 677 678 679 680 681 682 683 684 685 ... 1784 След.