536 ответов в этой теме

[mrbelyash]

mrbelyash объясни что это? причем здесь блокнот?

 

При том,что это отключит интерпретатор скриптов при запуске Js/VBS

[Викторуни]

При том,что это отключит интерпретатор скриптов при запуске Js/VBS

Спасибо большое! скиньте пожалуйста ещё скрипт на обратное включение? я эти строки копирую блокнот. сохраняю в reg файл. запускаю reg файл на уязвимых компьютерах (бухгалтер, секретарь и прочее особенно где эл почта) Тем самым это позволит на 100% защитить от вируса vault и подобных которые распространяются через JS файлы

[v.martyanov]

Еще раз, для совсем танкистов: НЕ позволяет защитить на 100%, тем более от подобных. Позволяют защитить бэкапы. Потом еще бедному Беляшу претензии будут предъявлять что мера недейственная...

[mrbelyash]

По умолчанию

[HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command]

@="C:\\Windows\\System32\\CScript.exe \"%1\" %*"

 

[HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command]

@="C:\\Windows\\System32\\WScript.exe \"%1\" %*"

 

Эти просто удалить

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe]

"Debugger"="ntsd -d"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe]

"Debugger"="ntsd -d"

[mrbelyash]

что мера недейственная...

ну как костыль 

[mrbelyash]

Кстати в почтовых клиентах раньше была плюшка-информировать/запрещать запускать исполняемые файлы.

Это если прикреплен экзешник со значком экселевского файла например.

[v.martyanov]

Если это настраивается (в смысле по списку расширений) - еще куда ни шло. Ну и ZIP с паролем шлет эту систему лесом.

[Викторуни]

НЕ позволяет защитить на 100%, тем более от подобных.

Спорим, что защитит на 100% которые распространяются через JS файлы. Это логически даже понятно, что они не могут запустится без интерпретатора !

[v.martyanov]

Ну вперед если такие умные. Имевшиеся ДО инцидента меры защиты тоже давали 100% гарантию, иначе их бы доводили до стопроцентной гарантии. И каков же результат?

[mrbelyash]

Если это настраивается (в смысле по списку расширений) - еще куда ни шло. Ну и ZIP с паролем шлет эту систему лесом.

 

особенно если sfx и внутри прошить пароль

[Викторуни]

Итак, профилактика от вируса VAULT: запустите эти reg файлы на уязвимых компьютерах (бухгалтер, секретарь и прочее особенно где эл почта), Эти два файла внесут изменения в реестр системы и отключится обработчик VBScript.  Это позволит защититься от вируса vault и подобных которые распространяются через JS файлы! (спасибо mrbelyash)

Сообщение было изменено Викторуни: 11 Март 2015 - 19:31

[username500]

Итак, профилактика от вируса VAULT: запустите эти reg файлы

 

А те, у кого %windir% называется допустим d:\win2003, будут весьма озадачены окном выбора приложения для открытия данного типа файлов.

Делайте уж сразу del /y *.js

Сообщение было изменено username500: 11 Март 2015 - 21:28

[mrbelyash]

 

Итак, профилактика от вируса VAULT: запустите эти reg файлы

 

А те, у кого %windir% называется допустим d:\win2003, будут весьма озадачены окном выбора приложения для открытия данного типа файлов.

Делайте уж сразу del /y *.js

 

 

Хоспади..как маленькие ...есть переменная окружения(для vbs, также и для js)

"%SystemRoot%\notepad.exe" "%1" %*

 

оно же

 

[HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command]

@=hex(2):22,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

  00,25,00,5c,00,6e,00,6f,00,74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,\

  65,00,22,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00

Сообщение было изменено mrbelyash: 11 Март 2015 - 21:37

[Викторуни]

Напишите кто нибудь русский аналог программы CryptoLocker!

[Jorjik]

Может лучше вместо запрета на vbs и js запретить запуск именно программы шифрования или ее дополнительных библиотек . Кто разбирал этот вопрос подробнее скажите насколько такой вариант возможен . Как часто меняеться именно сама программма которая осуществляет шифрование.

 

Как мне видеться не всегда можно закрыть js  так как наши замечательные банковские системы онлайн очень его любят , да и другие ребята типа торговых площадок .

[username500]

Как мне видеться не всегда можно закрыть js  так как наши замечательные банковские системы онлайн очень его любят , да и другие ребята типа торговых площадок .

Это разные вещи. JS на веб-страницах выполняются браузером, когда пользователь сам туда зашёл.

А вирусные VBS - интерпретатором операционной системы, невидимо.

Сообщение было изменено username500: 12 Март 2015 - 12:38

[pig]

JS тоже может локально выполниться. Если есть JScript.exe.

[username500]

Одно дело - выполняться с известного сайта через https, сообщениями браузера о сертификатах, задержках и ошибках выполнения, на виду пользователя, с крестиком для остановки.

Другое - втихушку из папки temp, с "левого" сайта, печальные последствия чего мы в этой теме и наблюдаем.

[maxim717]

Скажите пожалуйста, если скопировать файлы на флешку revault.js, pubring.gpg, vault.key еомпьютер повторно не заразится? а при открытии файла блокнотом pubring.gpg тоже не заразится?

[username500]

JS лучше стереть или переименовать, остальное незаразно и можно открывать хоть через GPG.exe, но горю это не поможет.

Сообщение было изменено username500: 12 Март 2015 - 13:01