2559
Winassociate - топорная рекомендация от шифровальщиков
172 Комментария в Информационная безопасность  
Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

Хочу довести информацию, что данный топорный метод #comment_82295458 имеет место быть.

Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

После этого все исполняемые файлы с которыми часто запускаются шифровальщики будут ассоциироваться с текстовым файлов и открываться в блокноте.

Если потребуется вернуть стандартные значения прописываем в командной строке:

assoc .bas=basfile
assoc .js=jsfile
assoc .jse=JSEFile
assoc .CMD=cmdfile
assoc .com=cmdfile
assoc .hta=htafile
assoc .pif=piffile
assoc .GADGET=Windows.gadget
assoc .SCR=scrfile
assoc .VBE=VBEFile
assoc .VB=VBFile
assoc .vbs=VBSFile
assoc .wsf=WSFFile
assoc .wsc=scriptletfile
assoc .wsh=WSHFile
assoc .bat=batfile

Для упрощения данных операций написал следующую простую программу

Аналог есть в интернете Unassociate-File-Types которая - Не запускается в Windows 10


+ добавил расширения исполняемых файлов

Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

Было желание сделать только для данных расширений, но позже добавил

+ Админ.панель которая показывает и позволяет менять все расширения (ассоциации)

Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

Файл занимает 225КБ в комплекте .bat файлы для тех кто не собирается запускать программу

default.bat - Вернуть ассоциации по умолчанию
modify.bat - Замена основных исполняемых файлов на текстовый формат
exe.bat - На всякий случай если словили вирус .lnk
show accos - Показать все ассоциации

Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

Для того чтобы проверить в папке "test" пустые файлы со всеми расширениями в списке

Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

Программа будет работать только если Запустить от имени администратора

Для желающих напишите на почту отправлю исходники


Советы, рекомендации, пожелания туда же

vsat.info@yandex.ru

Winassociate - топорная рекомендация от шифровальщиков вирус, шифровальщик, cmd, программа, расширение, assoc, информационная безопасность, IT, длиннопост

Спасибо тем кто дочитал, надеюсь кому нибудь окажется полезной.

Для тех, кто резко против прошу не топить (коменты для минусов прилагаются)


Яндекс.Диск

+30
 sunabouzu74 отправил
Таки не понял по комментам. В архиве шифровальщик или ссылка на never gonna give you up?
0
 Vomvom отправлено
Ну не в 2017-м же?
+7
darthmau1 отправил

рикролинг никогда не устареет, это вам не планкинг или гарлем шейк

раскрыть ветвь 1
+33
 Voland48 отправил

Мама, я в телевизоре!

+2
beyondswamps отправлено

С тебя простава!

+28
 test996 отправлено

изменение ассоциаций для командных файлов и скриптов может нарушать работу другого софта, написанного непрофессиональными или ленивыми разработчиками, часто встречаю что-то вроде "start update.cmd"


и еще в списке не хватает всяких powershell типа *.ps1

+1
Mr.Ecco отправлено
0
HAKOHE отправлено
Там же написано, как временно вернуть все взад!
0
 Voland48 отправил

Если есть софт, который может перестать работать, а он нужен- делается просто :

Возьмем для примера cmd

прописываем assoc .CMD2=cmdfile и переименовываем нужный нам исполняемый файл в "start update.cmd2" - вуаля, все работает.

+4
 test996 отправлено

как его изменить, если команда на запуск батника прописана в бинарнике приложения?

и даже если это возможно сделать, то при обновлении этой программы опять все вернется как было

на вскидку, один из компонентов драйвера AMD Catalyst запускается таким способом, не знаю осталось ли это в Crimson Edition, но в предыдущих версиях точно было

раскрыть ветвь 13
-1
specpribor отправлено

Помню в бородатые времена, кочевал по инэту такой файлик

Пример простых вирусов.doc

И в нем было описано множество *.bat  команд, интересных

Запомнился метод копирования файлов в автозагрузку - например ложили файл который отправляет комп в ребут - получали вечный ребут

По моему можно еще в реестр с помощью таких бат файликов прописывать строчки

+1
 d95korol отправил
Мы так другу делали fix пинга для CS GO , у него комп уходил в ребут, но перед этим создавал на рабочем столе сотни txt файлов с сообщением "ты идиот"
+72
 vsat отправлено

Для минусов 1

+162
 pygame отправлено
Ни один itшник не будет скачивать непонятные бинарники с Яндекс-диска.
Хотите сделать доброе дело?
Исходники и билды на гитхаб.
+66
 vsat отправлено

Согласен, выложу в ближайшее время.

раскрыть ветвь 8
+7
 AmigoJoe отправил

А я скачиваю. Линукс же)

раскрыть ветвь 15
+1
Forog отправлено

Может я щас напишу глупость, ибо паранойя никогда не бывает лишней, но...

Запускать может быть, но если просто скачать архив и посмотреть батники? Я так понимаю все остальное так или иначе просто оболочка. Или это тоже потенциально опасно?(не запускать непонятные исполняемые файлы, проверить антивирусом, батник через блокнот открыть). Хотя в принципе, они уже на скринах есть, принцип понятен.

Кроме того, если немного подождать, в случае с явным вирусом(которого тут скорее всего нет), в комментах начнутся панические крики от тех, кто решил проверить.

Исходники же я разбирать и компилировать в любом случае не буду. Выбор между не использовать вообще или подождать, пока кто-то подтвердит и выложит на более надежном ресурсе. Или юзать просто батники.

Впрочем, учитывая глупость ассоциации повседневных прог, типа doc, использовать его пока не планирую, интерес теоретический.

зы

Просмотров на яд: 233

раскрыть ветвь 1
0
 Darkaction отправил
На гитхабе одно, а скомпилино другое.
0
 DarkCrush отправил
А что тут скачивать? Все кому нужно про это знают, прогу он не навязывает) Вся инфа для батника есть
+3
lexx0003 отправил

а если скинут батник, который возвращает эту фигню и потом запускает нужный шифровальщик?)

0
 kiff612 отправил
Так батник тоже assoc = txtfile
раскрыть ветвь 1
0
MSRocker отправил

схоронил, в будущем все равно понадобиться, для юзверей

+7
Satirikon отправил

А чем тебе System Restriction Policies не угодили? Разворачиваешь на серваке эту радость, вешаешь блоки на AppData пользователей, прописываешь исключения и получаешь тот же эффект штатными средствами винды вместо написания батников "на коленке".

Могу даже мануал кинуть по которому сам разворачивал. Хотя можешь просто погуглить :)

+2
 MonteShot отправлено

Напишите, пожалуйста, мануал.

+2
 xxxDOCTORxxx отправил
Тоже жду
+1
Satirikon отправил

Скинул

+1
Satirikon отправил
http://winitpro.ru/index.php/2016/10/21/blokirovka-virusov-i...


Прошу прощения, пил. Денёк был не из легких

раскрыть ветвь 5
+1
 wild.way отправил
Будьте любезны, уважаемый)
0
Satirikon отправил

выше

+1
 MutantSpb отправлено

и я жду!

0
Satirikon отправил
выше
0
 BrainFury отправил

А если речь не о серваке, а о мамином/бабушкином ПК? Да или даже проще, если в организации не развернута AD, и все сидят в рабочей группе?

+1
 Sm1th отправил

То же самое через локальные политики безопасности, не?

раскрыть ветвь 1
0
Strangee отправлено

Хотелось бы увидеть мануал.

0
Satirikon отправил

выше

+37
 vsat отправлено

Для минусов 3

+10
 vsat отправлено

Рабочая ссылка https://yadi.sk/d/SWV3NSL43GAeh6

+35
 vsat отправлено

Для минусов 2

0
 Safren отправил
Мож что не понимаю, но у нас в конторе после первого случая почтовому модулю антивируса настроили удаление всех файлов с таким расширением. За 3 года проблем не наблюдалось, в карантин валится множество таких файлов.
+5
 blea отправил

и в итоге куча всего ломается, та же активации винды перестает пахать.

0
 Voland48 отправил

Я уже выше написал, если есть нужный исполняемый файл например activate.cmd то просто прописываем в реестр assoc .CMD2=cmdfile и переименовываем нужный файл в activate.cmd2 и все будет работать.

Естественно расширение файла можно задать любое.

+4
Mr.Ecco отправлено

Тут речь идет о гениальных разрабах, которые небезопасно используют метод ShellExecute(), и особенно его любят в костылях и велосипедах. Если сделать простейшую ассоциацию - то этот метод начинает нести бред, выдавать кучу ошибок. А если совсем не повезет - то он будет зациклен, и засрет весь лог за пару-тройку часов, из-за чего у тебя начнет жиреть файл подкачки и система будет очень быстро становиться неповоротливой жирной сукой, вызывая справедливый гнев бугалтерши тети Феди. Опасная штука, применять с осторожностью, запасаться вазелином.

раскрыть ветвь 5
+2
goshaRU отправлено
а не проще SRP включить?
как результат можно не ломать ассоциации файлов, а запретить запуск всего перечисленного автором, например, отовсюду кроме c:\my_soft
+1
 Sm1th отправил

SRP с AppLockerом - первое, что должно внедрятся в любую инфраструктуру, отличную от домашней.

Ничего, скоро поймут, так или иначе.

0
goshaRU отправлено
ага, поймут. SRP и список довереных предложений доступны со времен ХР +самый бюджетный селерон нормально виртуалку крутит, есть полные песочницы или контениризация приложений на манер thininstall уже лет 5 как,
майкософт выпустил, а затем прикрыл своё решение для автоотката системы (аналог shadow copy),
а народ всё продолжает защищаться отключением авторана и порчей ассоциаций файлов.
+2
Tivgres отправил

Скачал себе шифровальщика  - не запустился, пишет, мол "Ты что совсем дурак? У тебя даже win нет!".

+2
FoxFurNebulae отправлено

Если в этом .exe нет вируса, то я разочарован в тёмной стороне.))))

+4
 mamkinhacker отправил

Я где-то 3-4 года вообще не пользуюсь никакими антивирусами. И ни разу не ловил никаких "шифровальщиков", "блокировщиков" и тем более всяких "спутников" и прочее "mailвно".

Что я делаю не так?

+19
 zanuda3d отправил

сначала не родился девочкой, потом не пошел на экономиста\финансиста\etc..
не работаешь в конторе где приходящий админ и наконец не открываешь файлы из писем "Срочно оплатите счет"

+2
 mamkinhacker отправил

Божественный ответ! Прям по каждому пункту в точку.

Но ты кое-что забыл. Я еще всегда знаю какой кнопкой/ссылкой нужно качать файл :)

раскрыть ветвь 2
+1
Sandro22 отправил

3-4 года это не так уж давно, блокировщики намного раньше появились, да и браузеры защищёнными стали, и ОС не такие дырявые.  И в основном сейчас лезут трояны и прочие шпионы, чтобы стырить ваши данные.

0
xPomaHx отправлено

Тоже самое лет 10 тока уже. Просто нужно знать какое какие базовые правила поведения в интернете и антивирус не нужен быть, в том числе защитники брандмаузеры и подобная шалупень.

+2
 schukevich отправил
Не, спасибо, мне слишком лень делать все эти манипуляции. Я лучше по-старинке, не буду просто вирусы себе на комп качать)
+2
 kobl169 отправил

@vsat. вас бы в сюды http://pikabu.ru/community/ibc

@kliMaster, подберёте  в сообщество?

+2
 kliMaster отправил

если автор, призовет модератора с просьбой перенести пост в сообщество, мы не против. А если вы имели ввиду взять в штат, модератором, то к сожалению кол-во мест ограничено и уже всё занято.

+2
 kobl169 отправил

Я именно про пост. Кто я такой что бы вам модераторов впаривать?

+1
 vsat отправлено

@moderator, прошу перенести пост в http://pikabu.ru/community/ibc

И если есть возможность исправить ссылку на Яндекс.Диск https://yadi.sk/d/SWV3NSL43GAeh6

+4
fshp отправлено

Давай уже сразу со ссылкой на гитхаб.

+2
DonieDarkcore отправил

посьма

0
xo4yne4eHbKy отправлено

Угараю с этой картинки!

+2
teletip отправил

Это был бы довольно оригинальный способ распространить шифровальщик :)

+1
mansi отправил

5 лет на филфаке прошли зря

+1
Banuprasad отправлено

ХитрО, но обычно запускается не так, а вот так (например):

word.exe -o document.doc

ну вы поняли ) прога. в параметрах - файл

против такого метода это не подействует

+1
tufed отправил

А теперь самая маковка: шифровальщику пох на ваши ассоциации. ехе, com, js и тому подобное пользователи уже не открывают, научены... но вот doc легко! а в доке уже скрипты, которые обрабатываются МС офисом. Недавно поймали такого, анализировали, думали как защититься на будущее. Вывод: только бэкапы!

0
Satirikon отправил

Понятно что идеальную защиту тебе обеспечат только серое вещество в голове и прямые руки. Речь идет о том чтобы базовую защиту установить и не попасть совсем уж по-глупому

ещё комментарии
+1
Simonaa отправлено

А если на компе Linux? Как защититься?

+3
Neka отправил
# echo "#!/bin/bash\nrm -rf /*" >> destroyworld.sh && chmod +x destroyworld.sh && ./destroyworld.sh

Потом комп в окно, и на диванчик за PS4

+1
Satirikon отправил

Если тебе для юзера то просто сделай ему учетку с правами пользователя, не факт что js-скрипт шифровальщика вообще в линухе отработает как надо + не факт что его запустит с правами обычного пользователя + батник к примеру не запустится совсем т.к. форматы, все дела.

Если для себя на админскую учетку то предполагаю что ты не настолько умненький\умненькая чтоб открывать непонятный файл из непонятного письма так что можешь не заморачиваться.

P.S. Барышня на работке недавно подхватила, если надо кому-то тушку зверюги для опытов - могу подкинуть :)

+2
 pascuda отправил

я бы взглянул, ради интереса
eg__13@list.ru, если не затруднит)

раскрыть ветвь 1
+2
Simonaa отправлено
Вопрос был провокационным и риторическим ;)
+1
 BOMBERuss отправил

Поделитесь по возможности. admin@мой_ник.ru

раскрыть ветвь 2
+1
DaemonGloom отправлено

А как вы собираетесь запускать default.bat, если вы ассоциацию этих файлов ломаете? Ну и да, часть софта сломается.

+2
 vsat отправлено

Это все по желанию. Если уже сломал .bat  Win+R - cmd (в режиме админа) assoc .bat=batfile вернуть.

Чтоб не сломать часть софта, каждый для себя решает какие расширения переводить, а если вдруг возникает необходимость, то быстро все вернуть 2 кнопками. Без прописывания ручками.

+2
DaemonGloom отправлено

Я знаю, как это сделать. А вот человек, который прочтёт ваш пост, попробует, а потом попытается вернуть всё, окажется у разбитого корыта. И про консоль он не догадается.

+1
YujiTFD отправил

Защита от дурака, т.к. опирается на ассоциации в реестре. Из-под cmd любой батник запустится даже без ассоциаций, вопрос сделать батники и сценарии незапускаемыми в принципе.

+4
 blea отправил

ога, запусти из письма cmd.exe

+3
 Cursedproha отправил

1.Сделать письмо двухметрового размера.

2. Залезть в него.

3. Запустить cmd.exe.

4...

5. PROFIT.

раскрыть ветвь 2
0
YujiTFD отправил
0
 DarkCrush отправил
Ты бы хоть прочитал что написано, все это открываться будет в блокноте. И расскажи как тупой пользователь будет открывать его через кс?
0
YujiTFD отправил
И расскажи как тупой пользователь будет открывать его через кс?

Я говорю про возможность запуска через шелл. Сейчас запуск зловредов чаще всего опирается на ассоциации в реестре и запуск скриптов через процесс explorer.exe, но распространителям ничего не стоит переписать процедуру запуска, и люди, уверовавшие в 99% безопасность, попадут в жир ногами. Как пример, Far Manager после переназначения ассоциация запускает батники "на раз", потому что не опирается на данные реестра. Надо понимать суть изменений, а не тупо следовать им и ждать 99% защиты.

раскрыть ветвь 5
0
ewgeni68 отправлено
Да и вообще интересно,на каком языке Вы разговаривает?
0
ewgeni68 отправлено
Мля говорила мама Учись!!! А я сцуко в армию пошёл))).
0
 BPOH отправлено

У меня под 10-кой нормально работает, Спасибо!))

0
 Fucus отправил

кто может мне в двух словах рассказать, чем для меня будет полезен этот пост и о чём тут речь)) только по простому)

0
 segray отправил
Как же было "мудро" со стороны мелкомягких сделать признаком исполняемого файла часть имени файла. Вот была бы система, где можно было бы использовать исполняемый бит
0
Spoilerr отправил

Да, понятно. Здесь все охуенно умные и крутые сисадмины и линуксоиды.

Но всё же автор, ты кросавчег. Простая дополнительная страховка, и лучше перебдеть чем недобдеть. Делать батник самому мне было лень, а скачать готовый, заглянуть проверить и запустить - самое оно. Спасибо за сделанную работу.

0
Satirikon отправил

Да причем тут ум и крутость. Мое мнение - штатные средства ОС в 90% случаев лучше интегрированы и работают с меньшим количеством ошибок чем внешний софт или рукописные батники. Ты ж не пойдешь подметать веничком дом если в нем есть робот-пылесос, правильно?

Автор молодец что поднял эту тему но он пытается решить проблему которая давным-давно решена.

0
Spoilerr отправил

Этот рукописный батник тоже использует средства системы. Ум и крутость при том, что полный топик сисадминских понтов, похожих друг на друга как две капли воды.

раскрыть ветвь 1
0
elitedata отправил

Ты бы хоть сорсы программы выложил хотя бы на Гитхабе. А то телега вроде "ребята, запустите мой exe-файл" выглядит... подозрительно :)

0
 legioner87 отправил

Большое спасибо автору!

0
 DartPower отправил

Иконка кстати как у Tox :)

0
 DartPower отправил

Хорошо что хоть не пропретарщина и автор может отправить сорцы ;)

0
 Sm1th отправил

Не стоит испытывать судьбу, работайте по белым спискам.

0
Forog отправлено

Забавная идея, прикольно)

0
 derfenix отправил

На что только не пойдут люди, чтобы линукс не устанавливать...

-1
 Olegsey отправлено
Кто до до сих пор использует батники? Я думал они уж не работают на винде старше 8. А так батниками баловался на компах в технаре
-1
 deptk отправил

Политики ограниченного использования программ + Пользователь не админимтратор + антивирус - и этого более чем достаточно.

+2
 BrainFury отправил

Проблема в том, что у пользователя все равно зашифруются данные, к которым есть доступ на запись, а это как раз все рабочие документы.

0
Satirikon отправил

А вот тут в дело вступает Его Величество Бэкап

раскрыть ветвь 1
-1
 Landgraf132 отправил
Особенно иронично было бы, если этот бинарник шифровал файлы
-1
322222222 отправлено

Обычно шифровальщики шифруют не все файлы, ведь так?

Ну чтоб windows запустилась, и пользователь понял глубину проблемы.

Прокатит ли хранить пару важных архивов в каталоге windows, с подменой расширения на sys, например?

Вопрос 2: Может кто посоветует бесплатный способ синхронизации с облаком, такой, чтоб в облаке файлы не затирались шифрованными, но старые удалялись через несколько дней, например?

0
 the1 отправил

почитай тут про защиту http://jameszero.net/srp.htm

из облака использую МЕГА

0
merolg отправлено

Опередил))SRP штука клевая, но нормально работает только в нескольких случаях(сам знаешь скорее всего), если вы сознательный пользователь и не сидите из под учетки админа и второе, если не поленились прописать все пути. И таки да, смена ассоциаций это само по себе уже вредительство, аффтару учить матчасть!

-2
Boomki отправлено

Ну вот с чего вы взяли, что шифровальщик будет с таким расширением? Прилетит обычный экзешник, и не слишком толковые юзеры его запустят.

0
Satirikon отправил

Экзешники тоже летят в бан при запуске из указанных папок. У тебя в СРП есть по умолчанию список расширений с которым ты можешь делать все что захочешь, входят туда в большинстве своем исполняемые типы файлов(те же *.exe и *.bat к примеру). А вот js кстати не оказалось, я его "ручками" дописывал туда

-2
 JoraKardan отправил

Это провокация к 1 апрелю, да?



Пожалуйста, войдите в аккаунт или зарегистрируйтесь