89 ответов в этой теме

[Vito]

Еще способ обойти удаление LNK из списка (но придется создавать несколько правил для остальных исполняемых файлов *.js, *.vbs и т.д.)

Win7

%UserProfile%\Desktop\*.exe

WinXP

%UserProfile%\Рабочий стол\*.exe

Сообщение было изменено Vito: 20 Январь 2016 - 15:31

[IlyaS]

Вот только зачем оставлять LNK в списке?

Вы же не включаете в список DOC/DOCX/PDF. Просто LNK не нужен.

[N1ke]

я так, на всякий случай вам ужасу наведу %)

 

http://vms.drweb.ru/virus/?i=4362627

 

В данном случае распространение именно в виде lnk. Чуток доделать и SRP не выдержит.

Сообщение было изменено N1ke: 20 Январь 2016 - 17:43

[IlyaS]

Без семпла неинтересно.

[Vito]

Есть ли какой скрипт .wsf или каким образом можно импортировать список правил SRP в групповую политику?

Нашел только способы через реестр с помощью файла .inf (в gpedit.msc не будет видно правил): http://jameszero.net/2545.htm

[IlyaS]

Правила руками не проще создать?

[IlyaS]

CryptoPrevent тащит уже 356 правил, включая блокировку запуска из архивов и двойные расширения файлов. К тому же в правилах указаны расширения файлов, поэтому список назначенных расширений не применяется, а кол-во правил раз в 5-6 больше, чем если просто указывать папки. Для разных версий Windows без групповой политики очень удобная тулза. Правила обновляются из программы.

[Vito]

Еще путь для сетевых папок: \\*\

 

[Vito]

Office 2013 C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\P6KCHB32\*.exe

Office 2010 C:\Users\user\AppData\Local\Microsoft\Windows\Microsoft\Windows\INetCache\Content.Outlook\P6KCHB32\*.exe

 

%LocalAppData%\Microsoft\Windows\INetCookies\

%LocalAppData%\Microsoft\Windows\INetCache\

%LocalAppData%\Microsoft\Windows\Temporary Internet Files\Content.IE5\

%LocalAppData%\Microsoft\Windows\Themes\

 

p.s. заметка

[IlyaS]

Тут продвигают мысль, что проще сделать белый список для режима все запрещено по-умолчанию, чем по-умолчанию все разрешено, кроме заблокированного, за исключением разрешенного. Например, в конфликте:
запрещено - %AppData%\*\*.exe
разрешено - %AppData%\SbisLauncher\*.exe
может выиграть запрет %AppData%\*\*.exe.
 
У меня именно так и было, но оказалось, достаточно было обновить групповую политику

gpupdate /target:computer /force

чтобы запуск СБИС снова заработал.

Сообщение было изменено IlyaS: 09 Март 2016 - 13:35

[Vito]

Путь к файлам не знаю, это почта Outlook 2010

Уже через BIN и CPL файлы умудряются шифровать, не говоря о DOC файлах.

Прикрепленные файлы:

•  k1.1.png   39,35К   1 Скачано раз

Сообщение было изменено Vito: 12 Март 2016 - 14:09

[IlyaS]

BIN условен, т.к. это внедренный в DOC объект, и это не сам шифровальщик, а только эксплойт. CPL обычный исполняемый файл для панели управления. Тут ничего нового.

[Vito]

Появились вирусы с расширением *.wsf и возможно *.wsh

[Vito]

Насчет флешек и прочих устройств с буквами. 
Есть вариант добавить правило на все буквы, но оно не работает для всех типов файлов в списке SRP, только выбранные: *:\*.exe 
В данном случае в принципе достаточно запретить файл *:\autorun.inf но тогда остается ручной запуск файлов *.js *.wsf *.exe из любопытства. 

Может есть варианты переделать правило под список всех расширений в SRP?

[IlyaS]

Есть только один нормальный вариант - политика запрета запуска по-умолчанию с необходимыми исключениями.
Чем гоняться за новыми путями запусками вредоносного программного обеспечения, составить список запуска установленного ПО.
Но и тогда останется проблема, как разрешить запуск из TEMP.

[Vito]

Появился новый тип файла HTML и возможно HTM и другие связанные с браузерами.

Код JS теперь вписывают внутри файла.

 

Источник: https://www.anti-malware.ru/news/2016-05-11/19001/

[IlyaS]

Все ж таки вне браузера запускается обыкновенный .js. HTML/HTM блокировать не надо.

[Vito]

IlyaS

Что если, использовать имя самой переменной? %TEMP%\*.zip\

Вместо ее содержания:

- Windows XP = %USERPROFILE%\AppData\Local\Temp\*.zip\

- Winwows 7 = %USERPROFILE%\Local Settings\Temp\*.zip\

 

Не появится ли каких проблем?

Получается, что привязка станет зависимой от переменной, вместо статической привязки.

Но мне кажется, что и статическая привязка зависит от переменной.

Сообщение было изменено Vito: 06 Июль 2016 - 15:26

[Vito]

p.s. перепутал пути, оранжевый для Win 7 синий для Win XP

[IlyaS]

Теоретически %TEMP% будет работать не хуже %USERPROFILE%, но я не пробовал с %TEMP%.