Dr.Web 10 и выше не справляется с криптозаразой?
Блокировка криптолокеров политикой SRP
#21
Отправлено 27 Март 2015 - 17:36
Глядя на мир, нельзя не удивляться! ©
#22
Отправлено 27 Март 2015 - 17:47
#23
Отправлено 29 Март 2015 - 19:02
А еще не довелось с 10-кой словить.
Паук отбивает?
Хотелось бы уточнить.
В этой ветке форума речь идет о применении SRP (Software Restriction Policies) для защиты от крипторов системы, не имеющей АВ защиты?
Сообщение было изменено TASS: 29 Март 2015 - 19:03
Глядя на мир, нельзя не удивляться! ©
#24
Отправлено 29 Март 2015 - 19:06
а темпы браузеров?
#25
Отправлено 29 Март 2015 - 19:08
Паук отбивает?
да
#26
Отправлено 30 Март 2015 - 07:35
Паук отбивает?А еще не довелось с 10-кой словить.
Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.
Хотелось бы уточнить.
В этой ветке форума речь идет о применении SRP (Software Restriction Policies) для защиты от крипторов системы, не имеющей АВ защиты?
SRP никак не связаны с антивирусом. Хотите вместе используйте, хотите без. Скорее, SRP для профилактики случайного запуска из архивов в почте.
Собственно, SRP в духе использования фичи Microsoft.
#27
Отправлено 30 Март 2015 - 20:19
Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.
А ни с 10-го ?
#28
Отправлено 30 Март 2015 - 22:27
Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.
А ни с 10-го ?
Не знаю, говорят же. А 10 двоичная?
#29
Отправлено 13 Январь 2016 - 10:44
Как быть с расположением папки почтовика MS Outlook 2010
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\13VCRR8R\*.zip
Используется проводник, и внутри архива *.exe файлы открываются...
Сообщение было изменено Vito: 13 Январь 2016 - 10:44
#30
Отправлено 13 Январь 2016 - 11:29
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\
Только зачем ловить зипы в Content.Outlook? Зипы не запускаются, а открываются в архиваторе.
При запуске из зипа файл будет распакован в
%LocalAppData%\Temp\7z*\
%LocalAppData%\Temp\Rar*\
%LocalAppData%\Temp\*.zip\ (для проводника)
в зависимости от архиватора, там его и ловить.
В Content.Outlook имеет смысл ловить .exe и прочее, для этого подходит один из верхних шаблонов.
Сообщение было изменено IlyaS: 13 Январь 2016 - 11:30
#31
Отправлено 13 Январь 2016 - 11:35
Два пути двух программ, которые хранят архивы внутри своих временных папок:
MS Outlook 2010
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\13VCRR8R\*.zip
Почта Windows Live
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LUPCUY8I\*.zip
Суть в том, что без архиватора, архив *.zip открываются проводником, как папка.
В Windows 10 пока вручную не установить программу по умолчанию для ZIP, будет использоваться проводник.
#32
Отправлено 13 Январь 2016 - 11:47
Куда распаковывает проводник в вин10?
#33
Отправлено 13 Январь 2016 - 11:57
Ссылки не помогают:
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\
Куда распаковывает проводник Windows 10 не знаю.
Проверял на Windows 7 тоже не работает по правилу: %LocalAppData%\Temp\*.zip\
#34
Отправлено 13 Январь 2016 - 12:04
Запакуйте, допустим .doc, откройте его из архива в проводнике, посмотрите в свойствах файла путь.Куда распаковывает проводник Windows 10 не знаю.
Проводник вин7 точно распаковывает в
C:\Users\*\AppData\Local\Temp\Temp1_имя_файла.zip\
которое подходит под шаблон:
%LocalAppData%\Temp\*.zip\
Сообщение было изменено IlyaS: 13 Январь 2016 - 12:08
#35
Отправлено 13 Январь 2016 - 12:11
Путь на Windows 7
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
Путь на Windiws 10
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
#36
Отправлено 13 Январь 2016 - 12:16
#37
Отправлено 13 Январь 2016 - 12:22
> reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{70e7a16a-bea8-4f2d-98c7-90672e6806b1} HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{70e7a16a-bea8-4f2d-98c7-90672e6806b1} ItemData REG_EXPAND_SZ %LocalAppData%\Temp\*.zip\Полезно завести safer.log:
> reg query reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer\codeidentifiers LogFileName REG_SZ C:\Windows\Safer.logи смотреть в журнале приложений сообщения от SoftwareRestrictionPolicies.
Сообщение было изменено IlyaS: 13 Январь 2016 - 12:24
#38
Отправлено 13 Январь 2016 - 12:26
Путь в вин10 не изменился, правило должно работать, смотрите, что у вас вПуть на Windows 7
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
Путь на Windiws 10
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
> reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers /sЕсли у вас SRP в доменной политике, она могла еще не применится:
> gpupdate /target:computer /forceИмеет смысл пока поиграться в Local Security Policy или gpedit.msc, а только потом в GPO.
Сообщение было изменено IlyaS: 13 Январь 2016 - 12:27
#39
Отправлено 13 Январь 2016 - 12:43
Фильтру подвергаются только файлы во время из запуска (ShellExecute).
Так что при открытии .doc, фильтр не работает, так как .doc всего лишь параметр для winword, но он сработает, если внутри .doc вредоносное программное обеспечение вылезет в файл наружу, попытается запуститься, и путь запуска попадет в правило фильтра.
https://technet.microsoft.com/en-us/library/bb457006.aspx
Обычно все же вредоносное программное обеспечениеные zip-вложения в Outlook содержат уже исполняемые файлы: .cmd, .exe, .pif, .scr - поэтому их запуск будет заблокирован.
Сообщение было изменено IlyaS: 13 Январь 2016 - 12:46
#40
Отправлено 13 Январь 2016 - 12:58
Прикольно:
зл0вредтрансформируется форумом в "вредоносное программное обеспечение".
Сообщение было изменено IlyaS: 13 Январь 2016 - 13:02
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых