48 ответов в этой теме

[wertolet]

Сейчас идет тотальная рассылка шифровальщиков, которые не берутся антивирусом - архив во вложении и в нем тупо скрипт. Можно как-то настроить, чтобы эти архивы ликвидировались без всякой эвристики и проверки?

[maxic]

wertolet, полагаю, это задача уже почтовика, а не антивируса.

[wertolet]

Почтовик к сожалению не просматривает содержимое архивов. Рассылка идет в том числе и с известных адресов от клиентов и поставщиков, так что через антиспам проходит. 

[usverg]

Почтовик к сожалению не просматривает содержимое архивов. Рассылка идет в том числе и с известных адресов от клиентов и поставщиков, так что через антиспам проходит. 

Если Вы используете exim, то могу скинуть правила для блокировки.

[wertolet]

У нас exchange 2007

[usverg]

У нас exchange 2007

Жаль, для него я эту проблему не решал.

Сообщение было изменено usverg: 31 Октябрь 2014 - 10:04

[usverg]

Система, конечно, другая, но может хоть направление поисков укажет.

exim4.conf:

acl_check_mime:
#  deny message = Potentially executable content (in .zip). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}}
       decode = default
       condition = ${if match{${run{/usr/bin/unzip -l \
                                    $mime_decoded_filename}}}\
                             {\N(?i)\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jse|js|lnk|mde|msc|msi|msp|pcd|reg|scr|sct|url|vbs|vbe|wsf|wsh|wsc|wmv|wma|mp3|avi|mpg)\n\N}}
#  deny message = Potentially executable content (in .7z). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.7z$\N}}
       decode = default
       condition = ${if match{${run{/usr/bin/7z l \
                                    $mime_decoded_filename}}}\
                             {\N(?i)\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jse|js|lnk|mde|msc|msi|msp|pcd|reg|scr|sct|url|vbs|vbe|wsf|wsh|wsc|wmv|wma|mp3|avi|mpg)\n\N}}
#  deny message = Potentially executable content (in .rar). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.rar$\N}}
       decode = default
       condition = ${if match{${run{/usr/bin/unrar lb \
                                    $mime_decoded_filename}}}\
                             {\N(?i)\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jse|js|lnk|mde|msc|msi|msp|pcd|reg|scr|sct|url|vbs|vbe|wsf|wsh|wsc|wmv|wma|mp3|avi|mpg)\n\N}}
#  deny message = Potentially executable content (in .docx). - blocked!
  warn message = X-SS-Suspicious-Flag: YES
       condition = ${if match{$mime_filename}{\N(?i)\.docx$\N}}
       decode = default
       condition = ${if match{${run{/usr/local/bin/checkdocx \
                                    $mime_decoded_filename}}}\
                             {\N(?i)exe\n\N}}
  warn message = X-SS-Suspicious-Flag: YES
       mime_regex = [Bb][Ii][Tt]\.[Ll][Yy]\\/
  warn message = X-SS-Suspicious-Flag: YES
       mime_regex = [Gg][Oo][Oo]\.[Gg][Ll]\\/
  accept

exim.filter:

if $h_X-SS-Suspicious-Flag: contains "YES" then
#  deliver suspicious@localhost
  seen finish
endif

Блокируются потенциально опасные файлы по расширению.

Прикрепленные файлы:

•  checkdocx.7z   887байт   0 Скачано раз

[usverg]

Дополнительно для проверки docx используется скрипт /usr/local/bin/checkdocx

Прикрепленные файлы:

•  checkdocx.7z   887байт   0 Скачано раз

Сообщение было изменено usverg: 31 Октябрь 2014 - 10:29

[wertolet]

Спасибо, но exchange так просто не умеет..

[Kirill Polubelov]

Говорят, умеет http://technet.microsoft.com/ru-ru/library/bb123737%28v=exchg.80%29.aspx

[Valentina Yugai]

А у вас что стоит на клиентских машинах? Если там outlook, то в составе агента можно установить его плагин, он должен поймать вирус, если он есть в наших базах.

[Valentina Yugai]

Еще, по идее, в случае аутлука можно сделать так: http://support.microsoft.com/kb/837388/ru

[wertolet]

А у вас что стоит на клиентских машинах? Если там outlook, то в составе агента можно установить его плагин, он должен поймать вирус, если он есть в наших базах.

 

В том то и дело, что в базах его никогда нет, 4 случая уже, уже после заражения отсылаю файл на проверку приходит подтверждение, что да - спасибо за сотрудничество добавим в ближайшем обновлении. То что есть в базах ловит отлично, но если нет то все. И обещанная в 10й версии защита от шифровальщиков никак себя не проявляет.

 

Еще, по идее, в случае аутлука можно сделать так: http://support.microsoft.com/kb/837388/ru

 

В зипах не только вирусы присылают, нужна именно блокировка по содержимому.

[v.martyanov]

 

А у вас что стоит на клиентских машинах? Если там outlook, то в составе агента можно установить его плагин, он должен поймать вирус, если он есть в наших базах.

 

В том то и дело, что в базах его никогда нет, 4 случая уже, уже после заражения отсылаю файл на проверку приходит подтверждение, что да - спасибо за сотрудничество добавим в ближайшем обновлении. То что есть в базах ловит отлично, но если нет то все. И обещанная в 10й версии защита от шифровальщиков никак себя не проявляет.

 

 

 

Еще, по идее, в случае аутлука можно сделать так: http://support.microsoft.com/kb/837388/ru

 

В зипах не только вирусы присылают, нужна именно блокировка по содержимому.

 

Шифрование имен файлов в архивах и все, приехали?

[wertolet]

Шифрование имен файлов в архивах и все, приехали?

 

Не понял вашего комментария, можно расшифровать? Приходит архив, в нем в наглую лежит скрипт или любой другой исполняемый файл с длинным названием типа - "акты сверки от такого-то числа проверено drweb/avast/nod32 вирусов нет передать в бухгалтерию срочно doc.exe/js/bat" и антивирусу на него фиолетово. И когда он начинает шифровать, антивирусу на него все так же параллельно. 

[v.martyanov]

 

Шифрование имен файлов в архивах и все, приехали?

 

Не понял вашего комментария, можно расшифровать? Приходит архив, в нем в наглую лежит скрипт или любой другой исполняемый файл с длинным названием типа - "акты сверки от такого-то числа проверено drweb/avast/nod32 вирусов нет передать в бухгалтерию срочно doc.exe/js/bat" и антивирусу на него фиолетово. И когда он начинает шифровать, антивирусу на него все так же параллельно. 

 

А придет архив с паролем и на него фиолетово будет вообще всем, с гарантией 100%, потому что не зная пароля нельзя узнать что в архиве.

[usverg]

А придет архив с паролем и на него фиолетово будет вообще всем, с гарантией 100%, потому что не зная пароля нельзя узнать что в архиве.

Пока валится без паролей, персонал проинструктирован по формуле "архивы с паролем - кричите караул".

[v.martyanov]

 

А придет архив с паролем и на него фиолетово будет вообще всем, с гарантией 100%, потому что не зная пароля нельзя узнать что в архиве.

Пока валится без паролей, персонал проинструктирован по формуле "архивы с паролем - кричите караул".

 

Ходят периодически и с паролем :-) Но пока нечасто...

[wertolet]

На текущий момент все архивы с вирусней были без паролей.

[usverg]

Ходят периодически и с паролем :-) Но пока нечасто...

Видел, но очень давно. Пока ограничился жёсткой фильтрацией по содержимому. А в остальном - инструктаж.