Перейти к содержимому


Фото
- - - - -

Блокировка криптолокеров политикой SRP


  • Please log in to reply
89 ответов в этой теме

#21 TASS

TASS

    Advanced Member

  • Posters
  • 822 Сообщений:

Отправлено 27 Март 2015 - 17:36

Dr.Web 10 и выше не справляется с криптозаразой? 


Глядя на мир, нельзя не удивляться! ©


#22 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 27 Март 2015 - 17:47

А еще не довелось с 10-кой словить.

#23 TASS

TASS

    Advanced Member

  • Posters
  • 822 Сообщений:

Отправлено 29 Март 2015 - 19:02

А еще не довелось с 10-кой словить.

Паук отбивает?

 

Хотелось бы уточнить.

В этой ветке форума речь идет о применении SRP (Software Restriction Policies) для защиты от крипторов системы, не имеющей АВ защиты?


Сообщение было изменено TASS: 29 Март 2015 - 19:03

Глядя на мир, нельзя не удивляться! ©


#24 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 29 Март 2015 - 19:06

а темпы браузеров? :ph34r:


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#25 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 29 Март 2015 - 19:08

Паук отбивает?

да


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#26 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 30 Март 2015 - 07:35

 

А еще не довелось с 10-кой словить.

Паук отбивает?

 

Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.

Хотелось бы уточнить.
В этой ветке форума речь идет о применении SRP (Software Restriction Policies) для защиты от крипторов системы, не имеющей АВ защиты?

SRP никак не связаны с антивирусом. Хотите вместе используйте, хотите без. Скорее, SRP для профилактики случайного запуска из архивов в почте.
Собственно, SRP в духе использования фичи Microsoft.



#27 SergSG

SergSG

    The Master

  • Posters
  • 12 427 Сообщений:

Отправлено 30 Март 2015 - 20:19

Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.

А ни с 10-го ? :)



#28 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 30 Март 2015 - 22:27

 

Просто не прилетал еще ни один криптор после перехода на 10-ку. Говорят, 10-ка ловит даже неизвестные крипторы после 5-6-го файла.

А ни с 10-го ? :)

 

Не знаю, говорят же. А 10 двоичная? ;)



#29 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 13 Январь 2016 - 10:44

Как быть с расположением папки почтовика MS Outlook 2010

C:\Users\%UserName%\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\13VCRR8R\*.zip

 

Используется проводник, и внутри архива *.exe файлы открываются...


Сообщение было изменено Vito: 13 Январь 2016 - 10:44


#30 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 13 Январь 2016 - 11:29

%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\
Только зачем ловить зипы в Content.Outlook? Зипы не запускаются, а открываются в архиваторе.
При запуске из зипа файл будет распакован в
%LocalAppData%\Temp\7z*\
%LocalAppData%\Temp\Rar*\
%LocalAppData%\Temp\*.zip\ (для проводника)
в зависимости от архиватора, там его и ловить.
В Content.Outlook имеет смысл ловить .exe и прочее, для этого подходит один из верхних шаблонов.

Сообщение было изменено IlyaS: 13 Январь 2016 - 11:30


#31 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 13 Январь 2016 - 11:35

Два пути двух программ, которые хранят архивы внутри своих временных папок:

 

MS Outlook 2010

C:\Users\%UserName%\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\13VCRR8R\*.zip

 

Почта Windows Live

C:\Users\%UserName%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LUPCUY8I\*.zip

 

 

Суть в том, что без архиватора, архив *.zip открываются проводником, как папка.

В Windows 10 пока вручную не установить программу по умолчанию для ZIP, будет использоваться проводник.



#32 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 13 Январь 2016 - 11:47

Куда падает zip неважно. Важно, куда будет распакован файл из zip.
Куда распаковывает проводник в вин10?

#33 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 13 Январь 2016 - 11:57

screenshot_49.png
 
screenshot_52.png

 

Ссылки не помогают:

%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*
или
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\*\

 

Куда распаковывает проводник Windows 10 не знаю.

Проверял на Windows 7 тоже не работает по правилу: %LocalAppData%\Temp\*.zip\



#34 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 13 Январь 2016 - 12:04

Куда распаковывает проводник Windows 10 не знаю.

Запакуйте, допустим .doc, откройте его из архива в проводнике, посмотрите в свойствах файла путь.
Проводник вин7 точно распаковывает в
C:\Users\*\AppData\Local\Temp\Temp1_имя_файла.zip\
которое подходит под шаблон:
%LocalAppData%\Temp\*.zip\

Сообщение было изменено IlyaS: 13 Январь 2016 - 12:08


#35 Vito

Vito

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 13 Январь 2016 - 12:11

Путь на Windows 7

C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc

 

Путь на Windiws 10

C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc



#36 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 13 Январь 2016 - 12:16

Проверил в вин7:
Spoiler


#37 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 13 Январь 2016 - 12:22

> reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{70e7a16a-bea8-4f2d-98c7-90672e6806b1}
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{70e7a16a-bea8-4f2d-98c7-90672e6806b1}
    ItemData    REG_EXPAND_SZ    %LocalAppData%\Temp\*.zip\
Полезно завести safer.log:
> reg query reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\safer\codeidentifiers
    LogFileName    REG_SZ    C:\Windows\Safer.log
и смотреть в журнале приложений сообщения от SoftwareRestrictionPolicies.

Сообщение было изменено IlyaS: 13 Январь 2016 - 12:24


#38 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 13 Январь 2016 - 12:26

Путь на Windows 7
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc
 
Путь на Windiws 10
C:\Users\%UserName%\AppData\Local\Temp\Temp1_shmnview.zip\test.doc

Путь в вин10 не изменился, правило должно работать, смотрите, что у вас в
> reg query HKLM\Software\Policies\Microsoft\Windows\safer\codeidentifiers /s
Если у вас SRP в доменной политике, она могла еще не применится:
> gpupdate /target:computer /force
Имеет смысл пока поиграться в Local Security Policy или gpedit.msc, а только потом в GPO.

Сообщение было изменено IlyaS: 13 Январь 2016 - 12:27


#39 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 13 Январь 2016 - 12:43

Совсем забыл, политика действует не только на определенные расширения файлов и пути, но и способ запуска.
Фильтру подвергаются только файлы во время из запуска (ShellExecute).
Так что при открытии .doc, фильтр не работает, так как .doc всего лишь параметр для winword, но он сработает, если внутри .doc вредоносное программное обеспечение вылезет в файл наружу, попытается запуститься, и путь запуска попадет в правило фильтра.
https://technet.microsoft.com/en-us/library/bb457006.aspx

Обычно все же вредоносное программное обеспечениеные zip-вложения в Outlook содержат уже исполняемые файлы: .cmd, .exe, .pif, .scr - поэтому их запуск будет заблокирован.

Сообщение было изменено IlyaS: 13 Январь 2016 - 12:46


#40 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 862 Сообщений:

Отправлено 13 Январь 2016 - 12:58

Ошибся насчет .doc - просто этого расширения нет в SRP\Designated File Types по умолчанию, как добавил - заработал фильтр. Но я бы не советовал так делать - в архивах часто передают doc/xls, придется сначала архив распаковать в свою папку, чтобы открыть документ.

Прикольно:
зл0вред
трансформируется форумом в "вредоносное программное обеспечение".

Сообщение было изменено IlyaS: 13 Январь 2016 - 13:02



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых