536 ответов в этой теме

[mrbelyash]

Какой посоветуете вариант защиты от запуска GPG вообще ?

 

(секретарь, бухгалтер - они там разбираться ведь не будут, сами знаете как там с юзер-квалификацией порой...)

Политикой,учетками.

[Дмитрий-Я]

А что учётками ? Учётки простого пользователя. Да систему не рушат, у админа в папке не пакостят. Но файлы то все нужные у пользователя в своей же папке.

 

А в политику что посоветуете добавить ? Запрет на запуск. Запуск чего ? Как определить ?

Можно конечно под эту дудку сделать политику "Разрешать запуск только конкретных файлов". Но это радикально.

[mrbelyash]

А что учётками ? Учётки простого пользователя. Да систему не рушат, у админа в папке не пакостят. Но файлы то все нужные у пользователя в своей же папке.

 

А в политику что посоветуете добавить ? Запрет на запуск. Запуск чего ? Как определить ?

Можно конечно под эту дудку сделать политику "Разрешать запуск только конкретных файлов". Но это радикально.

На вики есть статейка как запретить запуск опред. программы.

И как и кому и что разрешить.

У нас в универе програмеров тоже чему-то учили,смотрю и безопасников и админГов пытаются учить..причем не удачно.

[Дмитрий-Я]

На вики есть статейка как запретить запуск опред. программы.

Это и так знаю. Думал вы в Вэбе посоветуете что-то сделать.

запрещать запуск определённой программы не вижу смысла. Ей видоизмениться раз плюнуть, коль "эвристический анализатор" не срабатывает.

А хеши засечённых, надеюсь, нормальные AV уже внесли в списки.

 

А список разрешённых всегда радикальный вариант. По многим причинам приходилось долго этот момент оттягивать. Видимо настала пора.

Сообщение было изменено Дмитрий-Я: 27 Март 2015 - 09:45

[mrbelyash]

В вебе не посоветуют,но интерпретатор скриптов можно помножить на нуль.

[abracs]

Хорошо, другой вопрос. Могу ли я зайти на комп с загрузочного диска, собрать все уцелевшие и повреждённые файлы данных в две папки, вычистить всё с винта и поставить новую систему, чтобы хозяйка могла работать. А зашифрованные файлы оставить до возможного решения проблемы? Или необходимо оставить систему, которая была до заражения?

[mrbelyash]

Хорошо, другой вопрос. Могу ли я зайти на комп с загрузочного диска, собрать все уцелевшие и повреждённые файлы данных в две папки, вычистить всё с винта и поставить новую систему, чтобы хозяйка могла работать. А зашифрованные файлы оставить до возможного решения проблемы? Или необходимо оставить систему, которая была до заражения?

 

там проблема в зашифрованных файлах(у энкодера цель шифровать пользовательские данные),но для уверенности можно сделать логи

Сообщение было изменено mrbelyash: 27 Март 2015 - 09:54

[Дмитрий-Я]

Не знаю.. Запретить запуск запакованных UPX файлов можно ?

Спайдер может ведь по сигнатурам определить что это UPX. Взять и заблокировать старт (если указано).

А кому сильно надо, ещё попробовать его распаковать, и если там gpg или ещё какая похожая программа, то тоже заблокировать.

 

Я так понимаю, spider всеравно Upx распаковывает, дак давайте добавим помимо программ-дозвонов, потенциально опасных, ещё и программы-шифровальщики использующие сложные алгоритмы.

Эти ведь ребята не спроста сами не стали с нуля всё писать. Да и даже если сами бы, то максимум стали бы использовать функции винды для этого.

[mrbelyash]

Не знаю.. Запретить запуск запакованных UPX файлов можно

 

с фига?

[abracs]

 

Хорошо, другой вопрос. Могу ли я зайти на комп с загрузочного диска, собрать все уцелевшие и повреждённые файлы данных в две папки, вычистить всё с винта и поставить новую систему, чтобы хозяйка могла работать. А зашифрованные файлы оставить до возможного решения проблемы? Или необходимо оставить систему, которая была до заражения?

 

там проблема в зашифрованных файлах(у энкодера цель шифровать пользовательские данные),но для уверенности можно сделать логи

 

Я предполагаю, что сама пострадавшиая система не нужна, и файлы, если будет найден ключ, можно восстановить хоть под Линуксом, но хочется подстраховаться.

[mrbelyash]

 

 

Хорошо, другой вопрос. Могу ли я зайти на комп с загрузочного диска, собрать все уцелевшие и повреждённые файлы данных в две папки, вычистить всё с винта и поставить новую систему, чтобы хозяйка могла работать. А зашифрованные файлы оставить до возможного решения проблемы? Или необходимо оставить систему, которая была до заражения?

 

там проблема в зашифрованных файлах(у энкодера цель шифровать пользовательские данные),но для уверенности можно сделать логи

 

Я предполагаю, что сама пострадавшиая система не нужна, и файлы, если будет найден ключ, можно восстановить хоть под Линуксом, но хочется подстраховаться.

 

там частенько еще бяку вешают(бэкдор например),но без логов говорить вроде как не об чем

[Дмитрий-Я]

 

Не знаю.. Запретить запуск запакованных UPX файлов можно

 

с фига?

 

Ну определить что файл пакером зажат ведь можно же. там даже секции меняются.

А вот я знаю, что у меня в сети никому такие файлы по работе запускать не надо. Максимум, могу парочку в исключения добавить потом.

Дак где мне галочку поставить на запрет запуска таких файлов ? Или плюсом ещё диапазон их размеров указать.

[mrbelyash]

 

 

Не знаю.. Запретить запуск запакованных UPX файлов можно

 

с фига?

 

Ну определить что файл пакером зажат ведь можно же. там даже секции меняются.

А вот я знаю, что у меня в сети никому такие файлы по работе запускать не надо. Максимум, могу парочку в исключения добавить потом.

Дак где мне галочку поставить на запрет запуска таких файлов ? Или плюсом ещё диапазон их размеров указать.

 

ужс...я лучше промолчу,не то по морде получу и подвиг свой не совершу

[Redon]

А если есть исходный файл вируса можно ли ка кто дешифровать?

[VVS]

А если есть исходный файл вируса можно ли ка кто дешифровать?

Нет.

[username500]

Дак где мне галочку поставить на запрет запуска таких файлов ?

http://www.windowsfaq.ru/content/view/694/46/

там можно сделать список разрешённых к выполнению файлов. Проблеме много лет и в админских форумах полно тонкостей.

 

С этими вирусами самое надёжное - файлы интерпретаторов windows script host стереть (cscript.exe, wscript.exe), а их расширения назначить блокноту (js, vbs, wsf).

REG файл для этого выкладывал mrbelyash.

Сообщение было изменено username500: 27 Март 2015 - 10:28

[username500]

Ну определить что файл пакером зажат ведь можно же

Тогда попрощаетесь с морем полезного "взломанного" софта. Упаковка .exe - не только криминал, но и экономия места.

 

Скажите ему просто: "Вэбер теперь совместим с 1С".

Зато его параноидальная превентивная защита много лет несовместима с установкой драйверов веб-камер и т.д., даже при остановке антивируса, за что он и убран из числа моих любимых антивирей.

В танке и скафандре жить конечно можно, но неудобно и скорость передвижения мала

Сообщение было изменено username500: 27 Март 2015 - 10:41

[mrbelyash]

 

Ну определить что файл пакером зажат ведь можно же

Тогда попрощаетесь с морем полезного "взломанного" софта. Упаковка .exe - не только криминал, но и экономия места.

 

Скажите ему просто: "Вэбер теперь совместим с 1С".

Зато его параноидальная превентивная защита много лет несовместима с установкой драйверов веб-камер и т.д., даже при остановке антивируса, за что он и убран из числа моих любимых антивирей.

В танке и скафандре жить конечно можно, но неудобно и скорость передвижения мала

 

А у меня броник был 16 кг..и ничо..живой

[v.martyanov]

Ничему не учатся. Закрыли хост для скачивания - перестал троян качать. Запретите исполнение из этих каталогов - будут новые. Это так сложно понять? Так сложно понять что эти "меры" помогли бы только в прошлом? Предлагаю отказаться от публикации таких панацей дабы не вводить юзверей, умом не окрепших, в заблуждение.

[IlyaS]

Ничему не учатся. Закрыли хост для скачивания - перестал троян качать. Запретите исполнение из этих каталогов - будут новые. Это так сложно понять? Так сложно понять что эти "меры" помогли бы только в прошлом? Предлагаю отказаться от публикации таких панацей дабы не вводить юзверей, умом не окрепших, в заблуждение.

Откуда взяться новым каталогам?
Это не панацея, конечно, всего лишь пресечение цепочки: письмо с архивом, архиватор, двойной клик на Реклама.doc.lnk. Временные папки зависят от архиватора.