Какой посоветуете вариант защиты от запуска GPG вообще ?
(секретарь, бухгалтер - они там разбираться ведь не будут, сами знаете как там с юзер-квалификацией порой...)
Политикой,учетками.
Отправлено 27 Март 2015 - 08:54
Какой посоветуете вариант защиты от запуска GPG вообще ?
(секретарь, бухгалтер - они там разбираться ведь не будут, сами знаете как там с юзер-квалификацией порой...)
Политикой,учетками.
Отправлено 27 Март 2015 - 09:12
А что учётками ? Учётки простого пользователя. Да систему не рушат, у админа в папке не пакостят. Но файлы то все нужные у пользователя в своей же папке.
А в политику что посоветуете добавить ? Запрет на запуск. Запуск чего ? Как определить ?
Можно конечно под эту дудку сделать политику "Разрешать запуск только конкретных файлов". Но это радикально.
Отправлено 27 Март 2015 - 09:19
А что учётками ? Учётки простого пользователя. Да систему не рушат, у админа в папке не пакостят. Но файлы то все нужные у пользователя в своей же папке.
А в политику что посоветуете добавить ? Запрет на запуск. Запуск чего ? Как определить ?
Можно конечно под эту дудку сделать политику "Разрешать запуск только конкретных файлов". Но это радикально.
На вики есть статейка как запретить запуск опред. программы.
И как и кому и что разрешить.
У нас в универе програмеров тоже чему-то учили,смотрю и безопасников и админГов пытаются учить..причем не удачно.
Отправлено 27 Март 2015 - 09:45
На вики есть статейка как запретить запуск опред. программы.
Это и так знаю. Думал вы в Вэбе посоветуете что-то сделать.
запрещать запуск определённой программы не вижу смысла. Ей видоизмениться раз плюнуть, коль "эвристический анализатор" не срабатывает.
А хеши засечённых, надеюсь, нормальные AV уже внесли в списки.
А список разрешённых всегда радикальный вариант. По многим причинам приходилось долго этот момент оттягивать. Видимо настала пора.
Сообщение было изменено Дмитрий-Я: 27 Март 2015 - 09:45
Отправлено 27 Март 2015 - 09:49
В вебе не посоветуют,но интерпретатор скриптов можно помножить на нуль.
Отправлено 27 Март 2015 - 09:52
Хорошо, другой вопрос. Могу ли я зайти на комп с загрузочного диска, собрать все уцелевшие и повреждённые файлы данных в две папки, вычистить всё с винта и поставить новую систему, чтобы хозяйка могла работать. А зашифрованные файлы оставить до возможного решения проблемы? Или необходимо оставить систему, которая была до заражения?
Отправлено 27 Март 2015 - 09:54
Хорошо, другой вопрос. Могу ли я зайти на комп с загрузочного диска, собрать все уцелевшие и повреждённые файлы данных в две папки, вычистить всё с винта и поставить новую систему, чтобы хозяйка могла работать. А зашифрованные файлы оставить до возможного решения проблемы? Или необходимо оставить систему, которая была до заражения?
там проблема в зашифрованных файлах(у энкодера цель шифровать пользовательские данные),но для уверенности можно сделать логи
Сообщение было изменено mrbelyash: 27 Март 2015 - 09:54
Отправлено 27 Март 2015 - 09:57
Не знаю.. Запретить запуск запакованных UPX файлов можно ?
Спайдер может ведь по сигнатурам определить что это UPX. Взять и заблокировать старт (если указано).
А кому сильно надо, ещё попробовать его распаковать, и если там gpg или ещё какая похожая программа, то тоже заблокировать.
Я так понимаю, spider всеравно Upx распаковывает, дак давайте добавим помимо программ-дозвонов, потенциально опасных, ещё и программы-шифровальщики использующие сложные алгоритмы.
Эти ведь ребята не спроста сами не стали с нуля всё писать. Да и даже если сами бы, то максимум стали бы использовать функции винды для этого.
Отправлено 27 Март 2015 - 09:58
Не знаю.. Запретить запуск запакованных UPX файлов можно
с фига?
Отправлено 27 Март 2015 - 10:01
Хорошо, другой вопрос. Могу ли я зайти на комп с загрузочного диска, собрать все уцелевшие и повреждённые файлы данных в две папки, вычистить всё с винта и поставить новую систему, чтобы хозяйка могла работать. А зашифрованные файлы оставить до возможного решения проблемы? Или необходимо оставить систему, которая была до заражения?
там проблема в зашифрованных файлах(у энкодера цель шифровать пользовательские данные),но для уверенности можно сделать логи
Я предполагаю, что сама пострадавшиая система не нужна, и файлы, если будет найден ключ, можно восстановить хоть под Линуксом, но хочется подстраховаться.
Отправлено 27 Март 2015 - 10:03
Хорошо, другой вопрос. Могу ли я зайти на комп с загрузочного диска, собрать все уцелевшие и повреждённые файлы данных в две папки, вычистить всё с винта и поставить новую систему, чтобы хозяйка могла работать. А зашифрованные файлы оставить до возможного решения проблемы? Или необходимо оставить систему, которая была до заражения?
там проблема в зашифрованных файлах(у энкодера цель шифровать пользовательские данные),но для уверенности можно сделать логи
Я предполагаю, что сама пострадавшиая система не нужна, и файлы, если будет найден ключ, можно восстановить хоть под Линуксом, но хочется подстраховаться.
там частенько еще бяку вешают(бэкдор например),но без логов говорить вроде как не об чем
Отправлено 27 Март 2015 - 10:08
Не знаю.. Запретить запуск запакованных UPX файлов можно
с фига?
Ну определить что файл пакером зажат ведь можно же. там даже секции меняются.
А вот я знаю, что у меня в сети никому такие файлы по работе запускать не надо. Максимум, могу парочку в исключения добавить потом.
Дак где мне галочку поставить на запрет запуска таких файлов ? Или плюсом ещё диапазон их размеров указать.
Отправлено 27 Март 2015 - 10:13
Не знаю.. Запретить запуск запакованных UPX файлов можно
с фига?
Ну определить что файл пакером зажат ведь можно же. там даже секции меняются.
А вот я знаю, что у меня в сети никому такие файлы по работе запускать не надо. Максимум, могу парочку в исключения добавить потом.
Дак где мне галочку поставить на запрет запуска таких файлов ? Или плюсом ещё диапазон их размеров указать.
ужс...я лучше промолчу,не то по морде получу и подвиг свой не совершу
Отправлено 27 Март 2015 - 10:13
А если есть исходный файл вируса можно ли ка кто дешифровать?
Отправлено 27 Март 2015 - 10:17
А если есть исходный файл вируса можно ли ка кто дешифровать?
Нет.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 27 Март 2015 - 10:24
Дак где мне галочку поставить на запрет запуска таких файлов ?
http://www.windowsfaq.ru/content/view/694/46/
там можно сделать список разрешённых к выполнению файлов. Проблеме много лет и в админских форумах полно тонкостей.
С этими вирусами самое надёжное - файлы интерпретаторов windows script host стереть (cscript.exe, wscript.exe), а их расширения назначить блокноту (js, vbs, wsf).
REG файл для этого выкладывал mrbelyash.
Сообщение было изменено username500: 27 Март 2015 - 10:28
Отправлено 27 Март 2015 - 10:36
Ну определить что файл пакером зажат ведь можно же
Тогда попрощаетесь с морем полезного "взломанного" софта. Упаковка .exe - не только криминал, но и экономия места.
Скажите ему просто: "Вэбер теперь совместим с 1С".
Зато его параноидальная превентивная защита много лет несовместима с установкой драйверов веб-камер и т.д., даже при остановке антивируса, за что он и убран из числа моих любимых антивирей.
В танке и скафандре жить конечно можно, но неудобно и скорость передвижения мала
Сообщение было изменено username500: 27 Март 2015 - 10:41
Отправлено 27 Март 2015 - 10:42
Ну определить что файл пакером зажат ведь можно жеТогда попрощаетесь с морем полезного "взломанного" софта. Упаковка .exe - не только криминал, но и экономия места.
Скажите ему просто: "Вэбер теперь совместим с 1С".Зато его параноидальная превентивная защита много лет несовместима с установкой драйверов веб-камер и т.д., даже при остановке антивируса, за что он и убран из числа моих любимых антивирей.
В танке и скафандре жить конечно можно, но неудобно и скорость передвижения мала
А у меня броник был 16 кг..и ничо..живой
Отправлено 27 Март 2015 - 12:29
Ничему не учатся. Закрыли хост для скачивания - перестал троян качать. Запретите исполнение из этих каталогов - будут новые. Это так сложно понять? Так сложно понять что эти "меры" помогли бы только в прошлом? Предлагаю отказаться от публикации таких панацей дабы не вводить юзверей, умом не окрепших, в заблуждение.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 27 Март 2015 - 12:41
Откуда взяться новым каталогам?Ничему не учатся. Закрыли хост для скачивания - перестал троян качать. Запретите исполнение из этих каталогов - будут новые. Это так сложно понять? Так сложно понять что эти "меры" помогли бы только в прошлом? Предлагаю отказаться от публикации таких панацей дабы не вводить юзверей, умом не окрепших, в заблуждение.
0 пользователей, 0 гостей, 0 скрытых