Блокировка криптолокеров политикой SRP
#41
Отправлено 13 Январь 2016 - 13:03
#42
Отправлено 13 Январь 2016 - 13:20
Разобрался, все делали правильно, нужна была перезагрузка.
Правило для проводника (работает): %LocalAppData%\Temp\*.zip\
Так же работают пути, для исполняемых файлов без архива:
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\
%LocalAppData%\Microsoft\Windows\Temporary Internet Files\Content.IE5\
Что касается "Назначенные типы файлов" в этом списке привязка к исполняемым файлам
И когда мы прописываем путь без конечного расширения, срабатывает блокировка по этому списку.
#43
Отправлено 13 Январь 2016 - 13:32
Что касается "Назначенные типы файлов" в этом списке привязка к исполняемым файлам.
И когда мы прописываем путь без конечного расширения, срабатывает блокировка по этому списку.
Да, по-моему, так SRP и работает.
В списке расширений по-умолчанию есть MDB/MDE, но нет DOC/XLS/PPT. То есть в некотором смысле MDB/MDE/DOC/XLS/PPT тоже исполняемые файлы.
Ага, вот оно как работает:
1 If you click a .lnk file (shortcut) in the UI, ShellExecute applies software restriction policies to it if the .lnk extension is included in Designated File Types. Otherwise, ShellExecute runs the target, where software restriction policies get applied in CreateProcess.
If the file type of the shortcut’s (.lnk) target is not an executable file directly, such as a .doc file, and if .doc is included in Designated File Types, software restriction policies rules are applied to the .doc file. If .doc is not included in Designated File Types,ShellExecute runs the handler with specified options (such as running “WinWord filename.doc”). At this point, CreateProcess applies software restriction policies to the application, WinWord, and not to the filename.doc, which was the actual target of the .lnk.
#44
Отправлено 13 Январь 2016 - 13:40
Так как тема "популярна", немного ссылок в тему:
CryptoPrevent is no longer based solely on Windows software restriction policies
XP and Viste SRP tests and ideas
Минимально необходимый набор правил для Software Restriction Policies
#45
Отправлено 13 Январь 2016 - 17:00
%AppData%\ %AppData%\*\1) оба пути распространяются на ВСЕ вложенные папки, препятствуя запуску/открытию файлов из списка назначенных
2) 1-й путь включает 2-й и наоборот
Правильно так:
%AppData%\*.exe %AppData%\*\*.exeТак блокируется только запуск .exe непосредственно находящихся в %AppData% и подпапках 1-го уровня. То есть нарушающих принцип хранения в AppData\Компания\ПО, из-за чего приходится делать исключения:
%LocalAppData%\Adobe\*.exe %LocalAppData%\Viber\Viber.exeК тому же рекомендуют убрать LNK из списка назначенных и добавить
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
Сообщение было изменено IlyaS: 13 Январь 2016 - 17:05
#46
Отправлено 13 Январь 2016 - 17:14
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%надо заменить на
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%то есть для Vista+ должно быть:
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir% Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory%Для XP/2003 x86 достаточно:
Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% Unrestricted - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory%
Сообщение было изменено IlyaS: 13 Январь 2016 - 17:15
#47
Отправлено 15 Январь 2016 - 15:57
Дебильный Касперский 2016 с новыми обновами со всеми наворотами, видит вирус шифровальщика, но его активность не глушит.
Скриншот добавлю завтра. Суть в дыре Касперского в проверке архивов, если не стоит галка проверять архивы, он будет пропускать вложения *.exe
Получается, что при запуске вируса, даже если он определяется как вирус, его активность не блокируется, он шифрует данные, а Касперскому пофиг.
В списке угроз обнаружил второй путь к вирусу, для Windows 7: C:\Documents and Settings\user\AppData\Local\Temp\Rar*\*.exe
Причем вирусом был создан ярлык на эту папку, и к ярлыку был запрещен доступ.
Думаю имеет смысл добавлять в запрет и эту папку. Но если таких ярлыков куча, то поможет только защита от первого запуска: %LocalAppData%\Temp\Rar*\
Сообщение было изменено Vito: 15 Январь 2016 - 16:00
#48
Отправлено 15 Январь 2016 - 16:15
%LocalAppData%\Temp\*.zip\ %LocalAppData%\Temp\_tc\ %LocalAppData%\Temp\7z*\ %LocalAppData%\Temp\8z*\ %LocalAppData%\Temp\FTM*\ %LocalAppData%\Temp\Rar*\ %LocalAppData%\Temp\wz*\В конце концов поменяют папку распаковки и правило снова не у дел. Соревнование брони и снаряда.
#49
Отправлено 19 Январь 2016 - 11:51
Скрин
Прикрепленные файлы:
#50
Отправлено 19 Январь 2016 - 15:48
#51
Отправлено 20 Январь 2016 - 01:19
Отправил файл в ЛС.
Потестируй.
И еще вопрос, есть ли какая-нибудь возможность добавить запреты к архивам на Windows XP
Сообщение было изменено Vito: 20 Январь 2016 - 01:20
#52
Отправлено 20 Январь 2016 - 02:53
Еще путь:
-------------------------------------------
%LocalAppData%\Temp\1C\*.exe
или
%LocalAppData%\Temp\1C\
Этот путь с установленным 1C будет сложно блокировать.
Если только через разрешение по хэшу файла.
-------------------------------------------
%Program Files (x86)%\1C\*.exe
или
%Program Files (x86)%\1C\
-------------------------------------------
Сообщение было изменено Vito: 20 Январь 2016 - 02:53
#53
Отправлено 20 Январь 2016 - 11:06
Пригодится и такой путь:
C:\Users\%UserName%\AppData\Roaming\Skype\%UserSkype%\media_messaging\media_cache_v2\
p.s. его нужно укоротить
#54
Отправлено 20 Январь 2016 - 11:18
#55
Отправлено 20 Январь 2016 - 11:23
Правила для %AppData% годятся и для XP, только вместо %LocalAppData% надо сделать %userprofile%\Local Settings:И еще вопрос, есть ли какая-нибудь возможность добавить запреты к архивам на Windows XP
%AppData%\*.exe %AppData%\*\*.exe %userprofile%\Local Settings\Temp\*.zip\ %userprofile%\Local Settings\Temp\7z*\ %userprofile%\Local Settings\Temp\8z*\ %userprofile%\Local Settings\Temp\Rar*\ %userprofile%\Local Settings\Temp\wz*\и для системного TEMP вместо %SystemRoot%\Temp быстрее:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers\DefaultSpoolDirectory% %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks\ %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\*.zip\ %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\7z*\ %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\8z*\ %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\Rar*\ %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp\wz*\
Сообщение было изменено IlyaS: 20 Январь 2016 - 11:25
#56
Отправлено 20 Январь 2016 - 13:05
Спасибо.
И по необходимости такие пути:
Win7
%UserProfile%\Downloads\
%UserProfile%\Documents\
%UserProfile%\Pictures\
%UserProfile%\Music\
%UserProfile%\Videos\
WinXP свои
%UserProfile%\Мои документы\Загрузки\
%UserProfile%\Мои документы\
%UserProfile%\Мои рисунки\
%UserProfile%\Моя музыка\
WinXP общие
%AllUsersProfile%\Документы\
%AllUsersProfile%\Документы\Мои видеозаписи\
%AllUsersProfile%\Документы\Моя музыка\
%AllUsersProfile%\Документы\Мои рисунки\
В загрузки Бухгалтеры обычно скачивают то, что скачали с браузера.
Затем переходят в эту папку и запускают файлы с иконкой Word/Excel (с расширением *.exe, *.js, *.vbs и т.д.)
С рабочим столом будет сложность в *.lnk т.к. придется его удалить из списка "Назначенные типы файлов".
Что если добавить такой путь, оставив *.lnk в списке (не повлияет ли это на безопасность?):
Win7
%UserProfile%\Desktop\*.lnk
WinXP
%UserProfile%\Рабочий стол\*.lnk
Сообщение было изменено Vito: 20 Январь 2016 - 13:07
#57
Отправлено 20 Январь 2016 - 13:15
Дополню для временных папок IE
Win7
%LocalAppData%\Microsoft\Windows\Temporary Internet Files\Content.IE5\
WinXP
%UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\
#58
Отправлено 20 Январь 2016 - 14:33
2) создавать правила для самих LNK не надо, это всего лишь ярлык, правила применятся к самим объектам, на которые указывает ярлык.
С остальным можно поиграться. Я так понимаю, вы хотите совсем оградить пользователей от возможности запустить что-либо загруженное из сети.
#59
Отправлено 20 Январь 2016 - 15:02
Именно так, потому, что фраза "я ничего не запускала" как у физиков ядерщиков фраза "упс", и в почте письмо от якобы "Ростелекома" с архивом и вирусом внутри.
По ярлыкам, пришел к выводу, что нужно убирать LNK из списка - иначе программы не будут запускаться, даже если находятся в разрешенной папке.
Немного об этом здесь: http://habrahabr.ru/post/101971/
Сообщение было изменено Vito: 20 Январь 2016 - 15:04
#60
Отправлено 20 Январь 2016 - 15:05
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых