Проверил, работает.
Блокировка криптолокеров политикой SRP
Автор
IlyaS
, мар 27 2015 11:29
89 ответов в этой теме
#82
Vito
-
- Posters
- 75 Сообщений:
Newbie
Отправлено 07 Июль 2016 - 01:40
Поспешил, на Windows XP не работает из за пути: %USERPROFILE%\Local Settings\Temp
Который ведет: C:\Documents and Settings\Администратор\Local Settings\Temp
Где обрывается на C:\Documents (причем кавычки не помогают: "%TEMP%\*.zip\")
Но изменение переменной на C:\Temp решает проблему, хоть это и не решение.
#83
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 07 Июль 2016 - 11:16
Странно, что не работает с %userprofile%\Local Settings\Temp\Поспешил, на Windows XP не работает из за пути: %USERPROFILE%\Local Settings\Temp
Который ведет: C:\Documents and Settings\Администратор\Local Settings\Temp
Где обрывается на C:\Documents (причем кавычки не помогают: "%TEMP%\*.zip\")
Но изменение переменной на C:\Temp решает проблему, хоть это и не решение.
Для XP все пути в TEMP прописаны как %userprofile%\Local Settings\Temp\*.zip\ без кавычек, разумеется.
А что на машине в реестре по пути
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
reg query HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths /s /v ItemData|findstr /i ItemData|sortи в журнале событий Application для EventID=866 после запуска из пользовательской папки Temp?
#84
Vito
-
- Posters
- 75 Сообщений:
Newbie
Отправлено 08 Июль 2016 - 04:01
Как мне подсказали, вся суть в формате 8.3 из за него путь через переменную %TEMP% сокращается
Если пишем в меню "Выполнить": %TEMP% попадаем в папку C:\DOCUME~1\9335~1\LOCALS~1\Temp
Если пишем в меню "Выполнить": %USERPROFILE%\Local Settings\Temp попадаем в папку C:\Documents and Settings\Администратор\Local Settings\Temp
В итоге:
Если указать в SRP путь: %TEMP%\zip*\ работать не будет (Windows XP), но на Windows 7 работает, т.к. папка без пробелов и сокращений с тильдой.
Если указать в SRP путь: %USERPROFILE%\Local Settings\Temp\zip*\ все прекрасно работает.
#85
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 20 Октябрь 2016 - 16:47
Переубедили и вы и MMPC: локи теперь загружается с помощью LNK в архиве.я так, на всякий случай вам ужасу наведу %)
http://vms.drweb.ru/virus/?i=4362627
В данном случае распространение именно в виде lnk. Чуток доделать и SRP не выдержит.
Пришлось вернуть LNK в Designated File Types, как оказалось правил мешавших запуску ярлыков с рабочего стола не было. А вот без LNK в Designated File Types правило %LocalAppData%\Temp\*\*.lnk не срабатывало.
#86
Vito
-
- Posters
- 75 Сообщений:
Newbie
Отправлено 28 Октябрь 2016 - 15:57
Проще блокировать файл powershell.exe по SRP
Единственно, чего не хватает, это отключения PowerShell в реестре.
Сообщение было изменено Vito: 28 Октябрь 2016 - 16:01
#87
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 28 Октябрь 2016 - 16:02
Это ж сколько всего в винде сразу отвалится и работать перестанет 
#89
Dmitry_rus
-
- Helpers
- 3 643 Сообщений:
Guru
Отправлено 29 Октябрь 2016 - 13:59
http://www.white-windows.ru/chto-takoe-windows-powershell-i-dlya-chego-on-nuzhen/
http://www.outsidethebox.ms/18237/
#90
Vito
-
- Posters
- 75 Сообщений:
Newbie
Отправлено 30 Октябрь 2016 - 05:36
Еще примеры есть?
По ссылкам для системных администраторов команды, для секретарей и менеджеров они зачем?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
