Dr.Web 10 и выше не справляется с криптозаразой?
Блокировка криптолокеров политикой SRP
Автор
IlyaS
, мар 27 2015 11:29
89 ответов в этой теме
#21
TASS
-
- Posters
- 921 Сообщений:
Advanced Member
Отправлено 27 Март 2015 - 17:36
Глядя на мир, нельзя не удивляться! ©
#22
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 27 Март 2015 - 17:47
А еще не довелось с 10-кой словить.
#23
TASS
-
- Posters
- 921 Сообщений:
Advanced Member
Отправлено 29 Март 2015 - 19:02
А еще не довелось с 10-кой словить.
Паук отбивает?
Хотелось бы уточнить.
В этой ветке форума речь идет о применении SRP (Software Restriction Policies) для защиты от крипторов системы, не имеющей АВ защиты?
Сообщение было изменено TASS: 29 Март 2015 - 19:03
Глядя на мир, нельзя не удивляться! ©
#24
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 29 Март 2015 - 19:06
а темпы браузеров? 
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#25
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 29 Март 2015 - 19:08
Паук отбивает?
да
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#26
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 30 Март 2015 - 07:35
Паук отбивает?А еще не довелось с 10-кой словить.
Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.
Хотелось бы уточнить.
В этой ветке форума речь идет о применении SRP (Software Restriction Policies) для защиты от крипторов системы, не имеющей АВ защиты?
SRP никак не связаны с антивирусом. Хотите вместе используйте, хотите без. Скорее, SRP для профилактики случайного запуска из архивов в почте.
Собственно, SRP в духе использования фичи Microsoft.
#27
SergSG
-
- Posters
- 14 425 Сообщений:
The Master
Отправлено 30 Март 2015 - 20:19
Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.
А ни с 10-го ? 
#28
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 30 Март 2015 - 22:27
Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.
А ни с 10-го ?
Не знаю, говорят же. А 10 двоичная? 
#29
Vito
-
- Posters
- 75 Сообщений:
Newbie
Отправлено 13 Январь 2016 - 10:44
Как быть с расположением папки почтовика MS Outlook 2010
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\13VCRR8R\*.zip
Используется проводник, и внутри архива *.exe файлы открываются...
Сообщение было изменено Vito: 13 Январь 2016 - 10:44
#30
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 13 Январь 2016 - 11:29
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\
Только зачем ловить зипы в Content.Outlook? Зипы не запускаются, а открываются в архиваторе.
При запуске из зипа файл будет распакован в
%LocalAppData%\Temp\7z*\
%LocalAppData%\Temp\Rar*\
%LocalAppData%\Temp\*.zip\ (для проводника)
в зависимости от архиватора, там его и ловить.
В Content.Outlook имеет смысл ловить .exe и прочее, для этого подходит один из верхних шаблонов.
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\
Только зачем ловить зипы в Content.Outlook? Зипы не запускаются, а открываются в архиваторе.
При запуске из зипа файл будет распакован в
%LocalAppData%\Temp\7z*\
%LocalAppData%\Temp\Rar*\
%LocalAppData%\Temp\*.zip\ (для проводника)
в зависимости от архиватора, там его и ловить.
В Content.Outlook имеет смысл ловить .exe и прочее, для этого подходит один из верхних шаблонов.
Сообщение было изменено IlyaS: 13 Январь 2016 - 11:30
#31
Vito
-
- Posters
- 75 Сообщений:
Newbie
Отправлено 13 Январь 2016 - 11:35
Два пути двух программ, которые хранят архивы внутри своих временных папок:
MS Outlook 2010
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\13VCRR8R\*.zip
Почта Windows Live
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LUPCUY8I\*.zip
Суть в том, что без архиватора, архив *.zip открываются проводником, как папка.
В Windows 10 пока вручную не установить программу по умолчанию для ZIP, будет использоваться проводник.
#32
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 13 Январь 2016 - 11:47
Куда падает zip неважно. Важно, куда будет распакован файл из zip.
Куда распаковывает проводник в вин10?
Куда распаковывает проводник в вин10?
#33
Vito
-
- Posters
- 75 Сообщений:
Newbie
Отправлено 13 Январь 2016 - 11:57
Ссылки не помогают:
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\
Куда распаковывает проводник Windows 10 не знаю.
Проверял на Windows 7 тоже не работает по правилу: %LocalAppData%\Temp\*.zip\
#34
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 13 Январь 2016 - 12:04
Запакуйте, допустим .doc, откройте его из архива в проводнике, посмотрите в свойствах файла путь.Куда распаковывает проводник Windows 10 не знаю.
Проводник вин7 точно распаковывает в
C:\Users\*\AppData\Local\Temp\Temp1_имя_файла.zip\
которое подходит под шаблон:
%LocalAppData%\Temp\*.zip\
Сообщение было изменено IlyaS: 13 Январь 2016 - 12:08
#35
Vito
-
- Posters
- 75 Сообщений:
Newbie
Отправлено 13 Январь 2016 - 12:11
Путь на Windows 7
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
Путь на Windiws 10
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
#36
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 13 Январь 2016 - 12:16
Проверил в вин7:
Spoiler
#37
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 13 Январь 2016 - 12:22
> reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{70e7a16a-bea8-4f2d-98c7-90672e6806b1}
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{70e7a16a-bea8-4f2d-98c7-90672e6806b1}
ItemData REG_EXPAND_SZ %LocalAppData%\Temp\*.zip\
Полезно завести safer.log:
> reg query reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer\codeidentifiers
LogFileName REG_SZ C:\Windows\Safer.log
и смотреть в журнале приложений сообщения от SoftwareRestrictionPolicies.
Сообщение было изменено IlyaS: 13 Январь 2016 - 12:24
#38
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 13 Январь 2016 - 12:26
Путь в вин10 не изменился, правило должно работать, смотрите, что у вас вПуть на Windows 7
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
Путь на Windiws 10
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
> reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers /sЕсли у вас SRP в доменной политике, она могла еще не применится:
> gpupdate /target:computer /forceИмеет смысл пока поиграться в Local Security Policy или gpedit.msc, а только потом в GPO.
Сообщение было изменено IlyaS: 13 Январь 2016 - 12:27
#39
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 13 Январь 2016 - 12:43
Совсем забыл, политика действует не только на определенные расширения файлов и пути, но и способ запуска.
Фильтру подвергаются только файлы во время из запуска (ShellExecute).
Так что при открытии .doc, фильтр не работает, так как .doc всего лишь параметр для winword, но он сработает, если внутри .doc вредоносное программное обеспечение вылезет в файл наружу, попытается запуститься, и путь запуска попадет в правило фильтра.
https://technet.microsoft.com/en-us/library/bb457006.aspx
Обычно все же вредоносное программное обеспечениеные zip-вложения в Outlook содержат уже исполняемые файлы: .cmd, .exe, .pif, .scr - поэтому их запуск будет заблокирован.
Фильтру подвергаются только файлы во время из запуска (ShellExecute).
Так что при открытии .doc, фильтр не работает, так как .doc всего лишь параметр для winword, но он сработает, если внутри .doc вредоносное программное обеспечение вылезет в файл наружу, попытается запуститься, и путь запуска попадет в правило фильтра.
https://technet.microsoft.com/en-us/library/bb457006.aspx
Обычно все же вредоносное программное обеспечениеные zip-вложения в Outlook содержат уже исполняемые файлы: .cmd, .exe, .pif, .scr - поэтому их запуск будет заблокирован.
Сообщение было изменено IlyaS: 13 Январь 2016 - 12:46
#40
IlyaS
-
- Posters
- 2 911 Сообщений:
Massive Poster
Отправлено 13 Январь 2016 - 12:58
Ошибся насчет .doc - просто этого расширения нет в SRP\Designated File Types по умолчанию, как добавил - заработал фильтр. Но я бы не советовал так делать - в архивах часто передают doc/xls, придется сначала архив распаковать в свою папку, чтобы открыть документ.
Прикольно:
Прикольно:
зл0вредтрансформируется форумом в "вредоносное программное обеспечение".
Сообщение было изменено IlyaS: 13 Январь 2016 - 13:02
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
