20 ответов в этой теме

[Vadim_AK]

Здравствуйте.

 

Устал бороться в компании с последними шифровальщиками, которые приходят сотрудникам по утрам в виде правильно оформленного email'а с приложенным архивом, внутри которого файл с правильным по бухгалтерским меркам именем и расширением "hta".

Дата-время создания файла - за час-два до получения (я нахожусь +4 МСК, вирусы датируются обычно 02-03-04 часа МСК). DrWeb ничего подозрительного в этих файлах не видит! Внутри очередная модификация очень злобного шифровальщика (проверено на горьком опыте).

Отправляем файл в антивирусную лабораторию, отвечают, что "да, новый вирус, в базу занесли". Отправляли такие файлы уже неоднократно и всегда с положительным результатом. В последнее время такие письма стали приходить всё чаще и чаще, вирус шифрует всё больше типов файлов. Приходится надеяться только на бдительность сотрудников, но их несколько сотен и среди них есть всякие. Критические данные бакапятся, но восстановление всегда требует времени и нарушает ритм работы компании. А ещё есть не критичные для компании, но критичные для сотрудников данные...

 

Что делать? DrWeb здесь не помощник ни для защиты, ни для расшифровки (общались - знаем)...

 

В своё время с полиморфиками же боролись как-то! Почему здесь такая дыра???

Да, стоит Dr.Web Enterprise Server 6.00.4.201211200 потому что перейти на 10-ку так и не можем - пробовали уже с десяток раз - не получается.

Но последние вирусы подсовывали и установленной "в пробирке" 10-ке - тоже никакого эффекта, пока лаборатория не отпишется, что "наш" вирус внесён в базу...

 

Готов запретить пользователям открывать все файлы *.hta по маске, но что-то не получается это сделать.

 

Подскажите, как централизованно в настройках Dr.Web Enterprise Server'а (SpIDer Guard G3?) заблокировать ВСЕ *.hta файлы?

Сообщение было изменено Vadim_AK: 15 Февраль 2017 - 06:03

[Konstantin Yudin]

Никак. Но это можно сделать политиками самой ОС. В гугле полно описаний, тема популярна. С ES 6 вы теряете очень много в защите, это просто сигнатурный ав. В актуальной версии не сигнатурные алгоритмы облновляются постоянно.

[TASS]

...перейти на 10-ку так и не можем - пробовали уже с десяток раз - не получается.

Vadim_AK, каковы основные причины неудавшихся попыток перехода? Они одинаковы или каждый раз разные?
Обращались в техподдержку Dr.Web за помощью по миграции?

Сообщение было изменено TASS: 15 Февраль 2017 - 09:58

[Vadim_AK]

Никак. Но это можно сделать политиками самой ОС. В гугле полно описаний, тема популярна. С ES 6 вы теряете очень много в защите, это просто сигнатурный ав. В актуальной версии не сигнатурные алгоритмы облновляются постоянно.

 

В данной ситуации 10-ка тоже не помогает - проверено несколько раз. Ну не видит никакая версия DrWeb новых модификаций этого шифровальщика, пока его не добавили в базу!

 

 

 

...перейти на 10-ку так и не можем - пробовали уже с десяток раз - не получается.

Vadim_AK, каковы основные причины неудавшихся попыток перехода? Они одинаковы или каждый раз разные?
Обращались в техподдержку Dr.Web за помощью по миграции?

 

 

Долго не могли понять одну из причин неудачных попыток. Переход делали с переносом конфигурации и настроек. Если сразу переезжать с таким переносом, то агент ставится, перезагружается и перестаёт стартовать без объяснения причин и записей в логах. Если поставить вчИстую, то вроде бы всё хорошо, но стоит перенести настройки 6-ки - сразу же та же песня. Оказалось, что виноваты скрипты, которые прописаны у нас в расписании 6-ки и выполняются при старте агента. Часть из них вешает агента 10-ки намертво, хотя в 6-ке работают "на ура". Видимо они выполняются в системе либо не от того же пользователя, что и в 6-ке, либо не с теми же правами. В скриптах нет ничего заумного (простые консольные командники), но они критически важны и пока до их переписывания руки не дошли. Это только одна из причин. Другие сложности тоже были, даже на чистой установке, но сейчас не вспомню.

 

Сейчас вопрос не в этом: DrWeb (даже 10-ка!) не умеет автоматически отлавливать свежие модификации этого вируса...

 

Вот названия последних таких вирусов, которые присвоили им после того, как я отправил на проверку подозрительные файлы:

 

Угроза: JS.Muldrop.332, Trojan.Encoder.10191

Угроза: JS.DownLoader.3412, JS.Muldrop.351, Trojan.Encoder.10271
 

было ещё несколько, но те ответы от "Virus Monitoring Service Doctor Web Ltd." не сохранил.

Между Trojan.Encoder.10191 и Trojan.Encoder.10271 прошло 17 дней, значит их "клепают" по ~5 штук в сутки...

И ни один из них не находится автоматически... Печальная статистика...

[VVS]

 

Никак. Но это можно сделать политиками самой ОС. В гугле полно описаний, тема популярна. С ES 6 вы теряете очень много в защите, это просто сигнатурный ав. В актуальной версии не сигнатурные алгоритмы облновляются постоянно.

 

В данной ситуации 10-ка тоже не помогает - проверено несколько раз. Ну не видит никакая версия DrWeb новых модификаций этого шифровальщика, пока его не добавили в базу!

А как Вы это проверяли?

[Vadim_AK]

 

 

Никак. Но это можно сделать политиками самой ОС. В гугле полно описаний, тема популярна. С ES 6 вы теряете очень много в защите, это просто сигнатурный ав. В актуальной версии не сигнатурные алгоритмы облновляются постоянно.

В данной ситуации 10-ка тоже не помогает - проверено несколько раз. Ну не видит никакая версия DrWeb новых модификаций этого шифровальщика, пока его не добавили в базу!

А как Вы это проверяли?

Брали пришедшие письма с явными признаками этих вирусов, пересылали по почте на компьютер, где была установлена 10-ка, открывали письмо, открывали архив, вытаскивали из него файл hta на диск, проверяли его сканером. Ни на каком этапе 10-ка ничего не находила, говорила, что угроз не обнаружено. Затем отправляли файл в лабораторию и получали ответ, что да, это вирус. Через какое-то время проделывали те же действия повторно. И 6-ка, и 10-ка сразу же находили угрозу на каждом этапе.

[Konstantin Yudin]

какой смысл проверять на вирусы hta файлы если сами говорите что они клепают их. а вот в 10 в отличии от 6 версии при его запуске энкодер может пойматься, такие алгоритмы там встроены. тестировать просто сканя файл и делалть выводы о уровне защиты давно не актуально.

Сообщение было изменено Konstantin Yudin: 15 Февраль 2017 - 11:57

[Vadim_AK]

какой смысл проверять на вирусы hta файлы если сами говорите что они клепают их. а вот в 10 в отличии от 6 версии при его запуске энкодер моет пойматься, такие алгоритмы там встроены. тестировать просто сканя файл и делалть выводы о уровне защиты давно не актуально.

Ну, извините, ставить на себе эксперименты с запуском вирусов такого уровня не буду. Я не мазохист. Несколько раз устранял последствия таких заражений, больше не хочу. А "пробирку" городить для этого - я не антивирусная лаборатория. А полиморфики в своё время эвристическим анализатором ловились "на ура". И не надо было их для этого запускать.

[Konstantin Yudin]

не нужно ничего тестировать, само работает. тестировать поведенческие алгоритмы еще нужно уметь. я лишь сказал что в реальности уровень защиты на порядки выше чем вы думали исходя из проверки по базам. вот и все.

Сообщение было изменено Konstantin Yudin: 15 Февраль 2017 - 12:12

[VVS]

 

какой смысл проверять на вирусы hta файлы если сами говорите что они клепают их. а вот в 10 в отличии от 6 версии при его запуске энкодер моет пойматься, такие алгоритмы там встроены. тестировать просто сканя файл и делалть выводы о уровне защиты давно не актуально.

Ну, извините, ставить на себе эксперименты с запуском вирусов такого уровня не буду. Я не мазохист. Несколько раз устранял последствия таких заражений, больше не хочу. А "пробирку" городить для этого - я не антивирусная лаборатория. А полиморфики в своё время эвристическим анализатором ловились "на ура". И не надо было их для этого запускать.

 

Тогда не надо делать выводы, что 10-ка их не ловит, если их нет в базе.

Многие из энкодеров отлавливаются 10-кой именно по их поведению при попытке их запуска.

[DoggoD]

Vadim_AK, вам правильно подсказал Konstantin Yudin про политики ОС..

если вы в полной мере надеятесь только на антивирус, то, наверное, это не правильно..

вам можно изучить вопрос, например, про Software Restriction Policies (Политики Ограниченного Использования Программ)..

на этой неделе на практике столкнулся с W97M.DownLoader.1478, который на тот момент еще не детектился.. пользователю прилетело письмо, "правильно" оформленное [ну типа как вы свою ситуацию описываете] с doc файлом во вложении, который он конечно же открыл для "почитать".. ему после этого в догонку в temp прилетело microsoft.word.exe который тоже на тот день не детектился (Trojan.DownLoader23.46495), которое уже запуститься не смогло, потому что SRP..

в продакшене на сегодняшний день SRP применять необходимо, ИМХО

см приложенный скриншот примера про hta  в рамка работы SRP..

[attachment=50648:hta.PNG]

[DoggoD]

добавлю, что просто использования SRP конечно не достаточно.. подход должен быть комплексным..

я же, после этого инцидента наконец-то скачал admx для офисного пакета

[Vadim_AK]

Спасибо всем за наводку. Здешнюю ветку про SRP перечитал несколько раз. И ещё много где про это дело почитал.

Но не работает у меня то, что мне надо!

 

Пишу в gpedit запрет на:

%UserProfile%\Local Settings\Temp\7z*\

(ОС - WinXP SP3)

(Не говорите, что правил должно быть больше, это я понимаю. Объясните, почему у меня не до конца работает конкретно этот запрет.)

 

Создаю три пустых файла:

1.exe

1.hta

1.hlp (для примера)

Все три расширения прописаны "Назначенных типах файлов" SRP.

 

Запаковываю их в 1.7z

 

Кликаю по этому архиву - запускается 7-Zip File Manager.

 

Внутри 7-Zip File Manager кликаю по:

1.exe - всё, как и ожидалось, файл не запускается, пишет "невозможно открыть из-за политики ограничения применения программного обеспечения"

1.hta - запускается без проблем!!! (правда открывает пустое окно, т.к. сам файл пустой)

1.hlp - тоже запускается без проблем!!! (но пишет, что файл не является файлом справки или повреждён - ну правильно, файл-то пустой)

 

Теперь открываю ПРОВОДНИКОМ эту самую папку %UserProfile%\Local Settings\Temp\7z*\, куда 7-Zip распаковал эти три файла и кликаю по ним уже не в окне 7-Zip File Manager, а в окне проводника Windows:

1.exe - файл не запускается, пишет "невозможно открыть из-за политики ограничения применения программного обеспечения"

1.hta - файл не запускается, пишет "невозможно открыть из-за политики ограничения применения программного обеспечения"

1.hlp - файл не запускается, пишет "невозможно открыть из-за политики ограничения применения программного обеспечения"

 

Ok! Здесь всё работает!

 

Открываю Far Manager и кликаю по этим файлам из него:

1.exe - не запускается

1.hta - запускается

1.hlp - запускается

 

Почему так?!?

 

Почему в проводнике не запускаются все три файла, а в 7-Zip File Manager и Far Manager не запускается только 1.exe?

 

В реальной ситуации пользователю приходило письмо с архивом, он кликал по архиву и у него запускался 7-Zip File Manager, а уже там, кликая по файлу *.hta, пользователь запускал вирус...

 

Похоже, я что-то не доделал, но что?

 

PS. Всех защитников Отечества - с наступающим праздником!

Сообщение было изменено Vadim_AK: 22 Февраль 2017 - 12:27

[phantom83]

Vadim_AK, может эта тема на вирусинфо Вам поможет

[Nenya Amo]

phantom83, ссыль там прокисла, вот FixRun.exe прикрепил (взято с safezone.cc). Отличная штука  !

Сообщение было изменено Nenya Amo: 22 Февраль 2017 - 14:04

[phantom83]

Nenya Amo, возможно, я этим не пользовался и за актуальностью темы не следил, просто предложил как вариант

[DoggoD]

Похоже, я что-то не доделал, но что?

трудно сказать, что именно вы делаете не так,

вы, я так понял, используете подход "что не запрещено, то разрешено" (это я про ваше

"Пишу в gpedit запрет на: %UserProfile%\Local Settings\Temp\7z*\")?

у себя в продакшене я запретил все, и создаю правила исключения (нет ни одного "Disallowed" правила)..

блокируется и в far и через 7z file manager..

возможно есть смысл задать вопрос в топе про srp -- там я смотрю рисуют "disallowed" правила..

[DoggoD]

добавлю еще, что через lnk (который я не вносил в черный список) на прямую запуск того, что в disallowed типах файлах и располагается за пределами разрешающих директорий так же не возможен.. есть правда обходной путь, который мне известен (покрайней мере в том окружении, что я создал), но даже его наличие с высокой степенью вероятности защищает организацию от непреднамеренного запуска вредоносного программного обеспечения пользователями (в том числе распространяемого в виде lnk файлов)..

[Kirill Polubelov]

есть правда обходной путь, который мне известен (покрайней мере в том окружении, что я создал)

 

Неужели junction?!

[DoggoD]

 

есть правда обходной путь, который мне известен (покрайней мере в том окружении, что я создал)

 

Неужели junction?!

 

наверное нет.. насчет junction перепроверю на днях, ибо программы, которые имеют пользователи, не умеют их делать.. этот обходной путь, конечно же прекращает работать, если добавить одно дополнительное расширение в disallowed.. способ описать могу в личу, если интересно.. тут нет желания описывать его, ибо так я, помимо прочего, борюсь с любителями поюзать портабельный софт на предприятии..