Обещанный пост о том как защитить ПК от вирусов шифровальщиков
Если кому интересна эта тема могу дней через несколько еще один способ защиты выложить так же длиннопостом.
раскрыть ветку (33)
Не затруднит список расширений в комментарии выложить? А то с картинки переписывать не удобно.
раскрыть ветку (13)
*.neitrino *.exe *.com *.pif *.scr *.bat *.cmd *.lnk *.cs *.css *.bas *.jar *.jav *.java *.js *.jse *.ht *.htt *.pdc *.pl *.prf *.py *.scf *.sct *.spl *.swf *.vb *.vbe *.vbs *.wcs *.wiz *.ws *.wsh *.cpl *.cab *.vault
раскрыть ветку (12)
а можно дилетантский вопрос?
как это - запретить запуск файлов с расширением .exe?
эмм.. или речь идет о самопроизвольном запуске файла после его закачки?
ну то есть , если я скачаю-таки бяку на комп, и по своей глупости запущу этот файл, то это не поможет?
раскрыть ветку (5)
В большинстве случаев (в моей практике работы) шифровальщиков ловят через письма с вложениями, которые пользователь открывает сам. Так что защита не всегда такая поможет.
Могу предложить метод, который ставлю у клиентов, т.к. большинство из них в бизнесе (малом и среднем) использует Касперыча, то ставлю защиту через него.
1. В настройках контроля программ ставится режим, что все новые неизвестые Касперу программы сразу отправляются в недоверенные с запретом доступа(пока админ сам их ручками не разрешит). В разделе доступа к файлам ручками прописываются типы файлов, которые шифровальщики атакуют.(*.doc, *.docx, *.xls, *.xlsx и т.д.). После этого на данную группу типов файлов ставится правило, что читать, открывать и изменять их могут ТОЛЬКО доверенные программы. ПРОФИТ
раскрыть ветку (2)
Несколько лет не заглядывал так глубоко в настройки, а там столько всего интересного появилось. Спасибо. Настроил. По типам файлов - картинка, чтоб проще искать было, если кому ещё потребуется. Для KIS16 - Параметры контроля программ\Управление ресурсами\Ресурсы\Персональные данные\Файлы пользователя
раскрыть ветку (1)
Не за что. Вот источники.
Для KIS http://support.kaspersky.ru/11151#block4
Для KES http://support.kaspersky.ru/10905#block1
Small office security делается подобно этим. в просто Антивирусе, не помню. Вроде нет такого контроля там.
раскрыть ветку (4)
Это взялось из одного очень старого списка, еще для Win 2000
По идее никак, но в вредоносных расширениях она была когда я искал в инете. Если узнаете как она могла тут оказаться был бы рад по читать)
раскрыть ветку (2)
как работает не знаю, только предполагаю - css скорее всего принуждает браузер выполнить какой либо скрипт или active-объект, который прописан в тексте таблицы стилей.
я бы тупо слепок файла сделал и запритил на запуск и все.
при таком варианте как минимум большая часть ПО от всяких налоговы и тд работать не будет.
раскрыть ветку (13)
Я тоже думал, что "заморозит" системный раздел или все файлы и ветки реестра, отвечающие за загрузку и автозапуск
ну я об этом предупредил. Вы можете сделать правило пути для вашего персонального ПО и работать будет как положено. Делов на еще 1 минуту. Так что тут проблемы не вижу.
раскрыть ветку (11)
раскрыть ветку (10)
групповая политика на то и нужна что все это на следующее утро при включении компов накатится.
вопрос в другом что после этого перестанет работать.
раскрыть ветку (9)
Если бы все компы были одинаковые как под копирку, то да, такое бы сработало. А так, как минимум у половины будут проблемы в работе. А пробежаться по 75+ компам за час и устранить проблему не реально. Плюс ко всему нам не доступны правки в групповой политике.
раскрыть ветку (8)
что за бред? я бы такого системного администратора нахер послал.
Вам религия запрещает бить на группы компов и делать определеные груповые политики под каждую группу?
можно развелаться по пользователям и по отдельным компам.
раскрыть ветку (7)
Дорогой, ты же не в курсе какие правила работы в ФНС? У админов тут нет доступа к администрированию домена. Максимум машину в домен загнать могут. А групповые политики вообще под запретом. Пользователи создаются по спец заявке в ЦОД. Единственное чем спасаемся, так это логонскрипты.
раскрыть ветку (6)
раскрыть ветку (4)
Логон скрипты это не GP. Это скрипт который срабатывает при входе УЗ в доменный ПК. И там можно прописать всё что угодно, но отрабатываться оно будет на всех машинах одинаково.Следовательно данное предложение не проканает. Или же придётся писать километры кода с разными вариантами...
раскрыть ветку (3)
раскрыть ветку (2)
Да, прости, оговорился. Привык уже так выражаться среди своих. В логон скрипте есть ссылка на батник. Сам логон скрипт мы менять не можем. А вот батник в нашем распоряжении. Т.к. по сути мы правим только батник по этому в общении среди своих его и называем логон скриптом.
раскрыть ветку (1)
где то две недели назад падает в ящик письмо от кого то левого лица с вордовским вложением и заголовком - "а-ля документы для сверки". Посмотрел 16'ричным-редактором этот "вордовский" файл, а там OLE-вложение. кошмарский ни как не реагирует на него. На страничке вирус-тотала сообщают, что этот файл кто-то только что проверял на вирусы, и 4 антивируса считают этот файл подозрительным. можно ли как то блокировать OLE-объекты ?
в след. раз ,если не сложно ,коментом все что нужно прописывать. Копипаст облегчил бы жизнь.
