Проверил, работает.
Блокировка криптолокеров политикой SRP
#81
Отправлено 06 Июль 2016 - 16:12
#82
Отправлено 07 Июль 2016 - 01:40
Поспешил, на Windows XP не работает из за пути: %USERPROFILE%\Local Settings\Temp
Который ведет: C:\Documents and Settings\Администратор\Local Settings\Temp
Где обрывается на C:\Documents (причем кавычки не помогают: "%TEMP%\*.zip\")
Но изменение переменной на C:\Temp решает проблему, хоть это и не решение.
#83
Отправлено 07 Июль 2016 - 11:16
Странно, что не работает с %userprofile%\Local Settings\Temp\Поспешил, на Windows XP не работает из за пути: %USERPROFILE%\Local Settings\Temp
Который ведет: C:\Documents and Settings\Администратор\Local Settings\Temp
Где обрывается на C:\Documents (причем кавычки не помогают: "%TEMP%\*.zip\")
Но изменение переменной на C:\Temp решает проблему, хоть это и не решение.
Для XP все пути в TEMP прописаны как %userprofile%\Local Settings\Temp\*.zip\ без кавычек, разумеется.
А что на машине в реестре по пути
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
reg query HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths /s /v ItemData|findstr /i ItemData|sortи в журнале событий Application для EventID=866 после запуска из пользовательской папки Temp?
#84
Отправлено 08 Июль 2016 - 04:01
Как мне подсказали, вся суть в формате 8.3 из за него путь через переменную %TEMP% сокращается
Если пишем в меню "Выполнить": %TEMP% попадаем в папку C:\DOCUME~1\9335~1\LOCALS~1\Temp
Если пишем в меню "Выполнить": %USERPROFILE%\Local Settings\Temp попадаем в папку C:\Documents and Settings\Администратор\Local Settings\Temp
В итоге:
Если указать в SRP путь: %TEMP%\zip*\ работать не будет (Windows XP), но на Windows 7 работает, т.к. папка без пробелов и сокращений с тильдой.
Если указать в SRP путь: %USERPROFILE%\Local Settings\Temp\zip*\ все прекрасно работает.
#85
Отправлено 20 Октябрь 2016 - 16:47
Переубедили и вы и MMPC: локи теперь загружается с помощью LNK в архиве.я так, на всякий случай вам ужасу наведу %)
http://vms.drweb.ru/virus/?i=4362627
В данном случае распространение именно в виде lnk. Чуток доделать и SRP не выдержит.
Пришлось вернуть LNK в Designated File Types, как оказалось правил мешавших запуску ярлыков с рабочего стола не было. А вот без LNK в Designated File Types правило %LocalAppData%\Temp\*\*.lnk не срабатывало.
#86
Отправлено 28 Октябрь 2016 - 15:57
Проще блокировать файл powershell.exe по SRP
Единственно, чего не хватает, это отключения PowerShell в реестре.
Сообщение было изменено Vito: 28 Октябрь 2016 - 16:01
#87
Отправлено 28 Октябрь 2016 - 16:02
#88
Отправлено 29 Октябрь 2016 - 11:10
Например?
#89
Отправлено 29 Октябрь 2016 - 13:59
http://www.white-windows.ru/chto-takoe-windows-powershell-i-dlya-chego-on-nuzhen/
http://www.outsidethebox.ms/18237/
#90
Отправлено 30 Октябрь 2016 - 05:36
Еще примеры есть?
По ссылкам для системных администраторов команды, для секретарей и менеджеров они зачем?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых