Сейчас идет тотальная рассылка шифровальщиков, которые не берутся антивирусом - архив во вложении и в нем тупо скрипт. Можно как-то настроить, чтобы эти архивы ликвидировались без всякой эвристики и проверки?
Как настроить антивирус на удаление всех почтовых архивов со скриптами
#1
Отправлено 31 Октябрь 2014 - 09:24
#2
Отправлено 31 Октябрь 2014 - 09:26
wertolet, полагаю, это задача уже почтовика, а не антивируса.
#3
Отправлено 31 Октябрь 2014 - 09:33
Почтовик к сожалению не просматривает содержимое архивов. Рассылка идет в том числе и с известных адресов от клиентов и поставщиков, так что через антиспам проходит.
#4
Отправлено 31 Октябрь 2014 - 09:37
Почтовик к сожалению не просматривает содержимое архивов. Рассылка идет в том числе и с известных адресов от клиентов и поставщиков, так что через антиспам проходит.
Если Вы используете exim, то могу скинуть правила для блокировки.
But a thing of beauty, I know, will never fade away...
#5
Отправлено 31 Октябрь 2014 - 09:46
У нас exchange 2007
#6
Отправлено 31 Октябрь 2014 - 10:03
У нас exchange 2007
Жаль, для него я эту проблему не решал.
Сообщение было изменено usverg: 31 Октябрь 2014 - 10:04
But a thing of beauty, I know, will never fade away...
#7
Отправлено 31 Октябрь 2014 - 10:21
Система, конечно, другая, но может хоть направление поисков укажет.
exim4.conf:
acl_check_mime: # deny message = Potentially executable content (in .zip). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}} decode = default condition = ${if match{${run{/usr/bin/unzip -l \ $mime_decoded_filename}}}\ {\N(?i)\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jse|js|lnk|mde|msc|msi|msp|pcd|reg|scr|sct|url|vbs|vbe|wsf|wsh|wsc|wmv|wma|mp3|avi|mpg)\n\N}} # deny message = Potentially executable content (in .7z). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.7z$\N}} decode = default condition = ${if match{${run{/usr/bin/7z l \ $mime_decoded_filename}}}\ {\N(?i)\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jse|js|lnk|mde|msc|msi|msp|pcd|reg|scr|sct|url|vbs|vbe|wsf|wsh|wsc|wmv|wma|mp3|avi|mpg)\n\N}} # deny message = Potentially executable content (in .rar). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.rar$\N}} decode = default condition = ${if match{${run{/usr/bin/unrar lb \ $mime_decoded_filename}}}\ {\N(?i)\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jse|js|lnk|mde|msc|msi|msp|pcd|reg|scr|sct|url|vbs|vbe|wsf|wsh|wsc|wmv|wma|mp3|avi|mpg)\n\N}} # deny message = Potentially executable content (in .docx). - blocked! warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.docx$\N}} decode = default condition = ${if match{${run{/usr/local/bin/checkdocx \ $mime_decoded_filename}}}\ {\N(?i)exe\n\N}} warn message = X-SS-Suspicious-Flag: YES mime_regex = [Bb][Ii][Tt]\.[Ll][Yy]\\/ warn message = X-SS-Suspicious-Flag: YES mime_regex = [Gg][Oo][Oo]\.[Gg][Ll]\\/ accept
exim.filter:
if $h_X-SS-Suspicious-Flag: contains "YES" then # deliver suspicious@localhost seen finish endif
Блокируются потенциально опасные файлы по расширению.
Прикрепленные файлы:
But a thing of beauty, I know, will never fade away...
#8
Отправлено 31 Октябрь 2014 - 10:29
Дополнительно для проверки docx используется скрипт /usr/local/bin/checkdocx
Прикрепленные файлы:
Сообщение было изменено usverg: 31 Октябрь 2014 - 10:29
But a thing of beauty, I know, will never fade away...
#9
Отправлено 31 Октябрь 2014 - 11:28
Спасибо, но exchange так просто не умеет..
#10
Отправлено 31 Октябрь 2014 - 11:58
#11
Отправлено 31 Октябрь 2014 - 12:04
А у вас что стоит на клиентских машинах? Если там outlook, то в составе агента можно установить его плагин, он должен поймать вирус, если он есть в наших базах.
#12
Отправлено 31 Октябрь 2014 - 12:13
Еще, по идее, в случае аутлука можно сделать так: http://support.microsoft.com/kb/837388/ru
#13
Отправлено 31 Октябрь 2014 - 12:53
А у вас что стоит на клиентских машинах? Если там outlook, то в составе агента можно установить его плагин, он должен поймать вирус, если он есть в наших базах.
В том то и дело, что в базах его никогда нет, 4 случая уже, уже после заражения отсылаю файл на проверку приходит подтверждение, что да - спасибо за сотрудничество добавим в ближайшем обновлении. То что есть в базах ловит отлично, но если нет то все. И обещанная в 10й версии защита от шифровальщиков никак себя не проявляет.
Еще, по идее, в случае аутлука можно сделать так: http://support.microsoft.com/kb/837388/ru
В зипах не только вирусы присылают, нужна именно блокировка по содержимому.
#14
Отправлено 31 Октябрь 2014 - 13:07
А у вас что стоит на клиентских машинах? Если там outlook, то в составе агента можно установить его плагин, он должен поймать вирус, если он есть в наших базах.
В том то и дело, что в базах его никогда нет, 4 случая уже, уже после заражения отсылаю файл на проверку приходит подтверждение, что да - спасибо за сотрудничество добавим в ближайшем обновлении. То что есть в базах ловит отлично, но если нет то все. И обещанная в 10й версии защита от шифровальщиков никак себя не проявляет.
Еще, по идее, в случае аутлука можно сделать так: http://support.microsoft.com/kb/837388/ru
В зипах не только вирусы присылают, нужна именно блокировка по содержимому.
Шифрование имен файлов в архивах и все, приехали?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#15
Отправлено 31 Октябрь 2014 - 13:45
Шифрование имен файлов в архивах и все, приехали?
Не понял вашего комментария, можно расшифровать? Приходит архив, в нем в наглую лежит скрипт или любой другой исполняемый файл с длинным названием типа - "акты сверки от такого-то числа проверено drweb/avast/nod32 вирусов нет передать в бухгалтерию срочно doc.exe/js/bat" и антивирусу на него фиолетово. И когда он начинает шифровать, антивирусу на него все так же параллельно.
#16
Отправлено 31 Октябрь 2014 - 13:48
Шифрование имен файлов в архивах и все, приехали?
Не понял вашего комментария, можно расшифровать? Приходит архив, в нем в наглую лежит скрипт или любой другой исполняемый файл с длинным названием типа - "акты сверки от такого-то числа проверено drweb/avast/nod32 вирусов нет передать в бухгалтерию срочно doc.exe/js/bat" и антивирусу на него фиолетово. И когда он начинает шифровать, антивирусу на него все так же параллельно.
А придет архив с паролем и на него фиолетово будет вообще всем, с гарантией 100%, потому что не зная пароля нельзя узнать что в архиве.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#17
Отправлено 31 Октябрь 2014 - 13:53
А придет архив с паролем и на него фиолетово будет вообще всем, с гарантией 100%, потому что не зная пароля нельзя узнать что в архиве.Пока валится без паролей, персонал проинструктирован по формуле "архивы с паролем - кричите караул".
But a thing of beauty, I know, will never fade away...
#18
Отправлено 31 Октябрь 2014 - 13:54
А придет архив с паролем и на него фиолетово будет вообще всем, с гарантией 100%, потому что не зная пароля нельзя узнать что в архиве.Пока валится без паролей, персонал проинструктирован по формуле "архивы с паролем - кричите караул".
Ходят периодически и с паролем :-) Но пока нечасто...
Личный сайт по Энкодерам - http://vmartyanov.ru/
#19
Отправлено 31 Октябрь 2014 - 14:01
На текущий момент все архивы с вирусней были без паролей.
#20
Отправлено 31 Октябрь 2014 - 14:13
Ходят периодически и с паролем :-) Но пока нечасто...Видел, но очень давно. Пока ограничился жёсткой фильтрацией по содержимому. А в остальном - инструктаж.
But a thing of beauty, I know, will never fade away...
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых