7 ответов в этой теме

[wiz]

Доброго времени суток !

 

Кроме антивируса использую групповую политику Software Restriction Policies.

Где можно посмотреть список возможных вредоносных файлов и расширений для блокировки шифровальщика vault  чтобы заблокировать данные файлы в групповой политике ?

[v.martyanov]

Завтра он выйдет с другими именами файлов и ваша "политика" не будет стоить ничего. Бэкапы нужны, бэкапы...

[Konstantin Yudin]

Доброго времени суток !
 
Кроме антивируса использую групповую политику Software Restriction Policies.
Где можно посмотреть список возможных вредоносных файлов и расширений для блокировки шифровальщика vault  чтобы заблокировать данные файлы в групповой политике ?

развейте мысль. не понятно о чем речь. плюс учтите что SRP не действует на службы и т.п. системные процессы.

[wiz]

 

Доброго времени суток !
 
Кроме антивируса использую групповую политику Software Restriction Policies.
Где можно посмотреть список возможных вредоносных файлов и расширений для блокировки шифровальщика vault  чтобы заблокировать данные файлы в групповой политике ?

развейте мысль. не понятно о чем речь. плюс учтите что SRP не действует на службы и т.п. системные процессы.

 

Попробую объяснить идею.

С помощью SRP  я хочу предотвратить заражение вирусом. Понимаю что польностью это сделать не получится, но повысить шансы за счет данной политики - лишним не будет.

Наверняка есть общие признаки вируса - название файлов, расширения файлов, пути, ключи реестра. Это все можно заблокировать.

SRP не действует на службы, но чтобы их (службы)использовать во вред - нужно запустить какой-то скрипт, файл и т.п.

Нусколько я знаю все начинается с зараженого файла. Вот его и хотелось бы заблокировать по каким-либо признакам .

[Dmitry_rus]

Ну, можно попробовать блокировать выполнение чего бы то ни было из темпов (юзерских и системных), но при этом необходимо помнить, что многие инсталляторы любят распаковываться и запускаться именно оттуда. В дополнение - завести "белый список" программ, выполнение всех остальных будет блокироваться. Но всё это - полумеры. Общие признаки вируса в целом совпадают с общими признаками обычных программ. Ничем особо характерным они не отличаются. И название может быть абсолютно любым, хоть setup, хоть install.

[IlyaS]

Посмотрите, что блокирует CryptoPrevent, там есть backup GPO, а пока:

%AppData%\
%AppData%\*\
%LocalAppData%\
%LocalAppData%\Temp\*.zip\
%LocalAppData%\Temp\7z*\
%LocalAppData%\Temp\Rar*\
%LocalAppData%\Temp\wz*\

Учтите, файлы по этим путям перестанут запускаться пользователем.

[IlyaS]

Можно пойти немного дальше и понизить Mandatory Level папки Temp и Downloads пользователя до Low. Так он получит предупреждение, о запуске файла. Может быть правильно отреагирует и не запустит.

[wiz]

Ну, можно попробовать блокировать выполнение чего бы то ни было из темпов (юзерских и системных), но при этом необходимо помнить, что многие инсталляторы любят распаковываться и запускаться именно оттуда. В дополнение - завести "белый список" программ, выполнение всех остальных будет блокироваться. Но всё это - полумеры. Общие признаки вируса в целом совпадают с общими признаками обычных программ. Ничем особо характерным они не отличаются. И название может быть абсолютно любым, хоть setup, хоть install.

например я не каждый день что-то ставлю. А если ставлю  - кладу инсталятор в папку Program Files, от админа запускаю и все. Папку темп закрыл.

 

Вот примерно то что нужно блокировать или разрешить:

 

Unrestricted - %systemroot%
Unrestricted - %programfiles%
Unrestricted - %userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\*.lnk – (Windows XP/2003 only)
Unrestricted - %HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData%/Microsoft/Internet Explorer/Quick Launch/*.lnk – (Windows Vista/2008 или выше)
Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop%*.lnk
Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*.lnk
Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*/*.lnk
Unrestricted - %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs%*/*/*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Administrative Tools%*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop%*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*/*.lnk
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Programs%*/*/*.lnk
Dissalowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers%
Dissalowed - %systemroot%\Temp

Хорошая статья ( не реклама) : http://www.sysadmins.lv/blog-ru/sekrety-software-restriction-policies-chast-2.aspx

 

И плюс ко всему этому можно составить список файлов ключей и расширений для запрета. Придется только постоянно что-то добавлять ) и отслеживать. В продакшене более актуально будет.

Сообщение было изменено wiz: 31 Август 2015 - 17:38