2599

Winassociate - топорная рекомендация от шифровальщиков

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Хочу довести информацию, что данный топорный метод #comment_82295458 имеет место быть.

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

После этого все исполняемые файлы с которыми часто запускаются шифровальщики будут ассоциироваться с текстовым файлов и открываться в блокноте.

Если потребуется вернуть стандартные значения прописываем в командной строке:

assoc .bas=basfile
assoc .js=jsfile
assoc .jse=JSEFile
assoc .CMD=cmdfile
assoc .com=cmdfile
assoc .hta=htafile
assoc .pif=piffile
assoc .GADGET=Windows.gadget
assoc .SCR=scrfile
assoc .VBE=VBEFile
assoc .VB=VBFile
assoc .vbs=VBSFile
assoc .wsf=WSFFile
assoc .wsc=scriptletfile
assoc .wsh=WSHFile
assoc .bat=batfile

Для упрощения данных операций написал следующую простую программу

Аналог есть в интернете Unassociate-File-Types которая - Не запускается в Windows 10


+ добавил расширения исполняемых файлов

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Было желание сделать только для данных расширений, но позже добавил

+ Админ.панель которая показывает и позволяет менять все расширения (ассоциации)

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Файл занимает 225КБ в комплекте .bat файлы для тех кто не собирается запускать программу

default.bat - Вернуть ассоциации по умолчанию
modify.bat - Замена основных исполняемых файлов на текстовый формат
exe.bat - На всякий случай если словили вирус .lnk
show accos - Показать все ассоциации
Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Для того чтобы проверить в папке "test" пустые файлы со всеми расширениями в списке

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Программа будет работать только если Запустить от имени администратора

Для желающих напишите на почту отправлю исходники


Советы, рекомендации, пожелания туда же

vsat.info@yandex.ru
Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Спасибо тем кто дочитал, надеюсь кому нибудь окажется полезной.

Для тех, кто резко против прошу не топить (коменты для минусов прилагаются)


Яндекс.Диск

Дубликаты не найдены

+35
Таки не понял по комментам. В архиве шифровальщик или ссылка на never gonna give you up?
раскрыть ветку 3
0
Ну не в 2017-м же?
раскрыть ветку 2
+10

рикролинг никогда не устареет, это вам не планкинг или гарлем шейк

ещё комментарии
+36

Мама, я в телевизоре!

раскрыть ветку 1
+2

С тебя простава!

+29

изменение ассоциаций для командных файлов и скриптов может нарушать работу другого софта, написанного непрофессиональными или ленивыми разработчиками, часто встречаю что-то вроде "start update.cmd"


и еще в списке не хватает всяких powershell типа *.ps1

раскрыть ветку 19
+1
0
Там же написано, как временно вернуть все взад!
0

Если есть софт, который может перестать работать, а он нужен- делается просто :

Возьмем для примера cmd

прописываем assoc .CMD2=cmdfile и переименовываем нужный нам исполняемый файл в "start update.cmd2" - вуаля, все работает.

раскрыть ветку 14
+4

как его изменить, если команда на запуск батника прописана в бинарнике приложения?

и даже если это возможно сделать, то при обновлении этой программы опять все вернется как было

на вскидку, один из компонентов драйвера AMD Catalyst запускается таким способом, не знаю осталось ли это в Crimson Edition, но в предыдущих версиях точно было

раскрыть ветку 13
-1

Помню в бородатые времена, кочевал по инэту такой файлик

Пример простых вирусов.doc

И в нем было описано множество *.bat  команд, интересных

Запомнился метод копирования файлов в автозагрузку - например ложили файл который отправляет комп в ребут - получали вечный ребут

По моему можно еще в реестр с помощью таких бат файликов прописывать строчки

раскрыть ветку 1
+1
Мы так другу делали fix пинга для CS GO , у него комп уходил в ребут, но перед этим создавал на рабочем столе сотни txt файлов с сообщением "ты идиот"
+73

Для минусов 1

раскрыть ветку 35
+167
Ни один itшник не будет скачивать непонятные бинарники с Яндекс-диска.
Хотите сделать доброе дело?
Исходники и билды на гитхаб.
раскрыть ветку 30
+68

Согласен, выложу в ближайшее время.

раскрыть ветку 8
+7

А я скачиваю. Линукс же)

раскрыть ветку 16
+1

Может я щас напишу глупость, ибо паранойя никогда не бывает лишней, но...

Запускать может быть, но если просто скачать архив и посмотреть батники? Я так понимаю все остальное так или иначе просто оболочка. Или это тоже потенциально опасно?(не запускать непонятные исполняемые файлы, проверить антивирусом, батник через блокнот открыть). Хотя в принципе, они уже на скринах есть, принцип понятен.

Кроме того, если немного подождать, в случае с явным вирусом(которого тут скорее всего нет), в комментах начнутся панические крики от тех, кто решил проверить.

Исходники же я разбирать и компилировать в любом случае не буду. Выбор между не использовать вообще или подождать, пока кто-то подтвердит и выложит на более надежном ресурсе. Или юзать просто батники.

Впрочем, учитывая глупость ассоциации повседневных прог, типа doc, использовать его пока не планирую, интерес теоретический.

зы

Просмотров на яд: 233

раскрыть ветку 1
0
А что тут скачивать? Все кому нужно про это знают, прогу он не навязывает) Вся инфа для батника есть
-1
На гитхабе одно, а скомпилино другое.
+3

а если скинут батник, который возвращает эту фигню и потом запускает нужный шифровальщик?)

раскрыть ветку 2
0
Так батник тоже assoc = txtfile
раскрыть ветку 1
0

схоронил, в будущем все равно понадобиться, для юзверей

+8

А чем тебе System Restriction Policies не угодили? Разворачиваешь на серваке эту радость, вешаешь блоки на AppData пользователей, прописываешь исключения и получаешь тот же эффект штатными средствами винды вместо написания батников "на коленке".

Могу даже мануал кинуть по которому сам разворачивал. Хотя можешь просто погуглить :)

раскрыть ветку 19
+2

Напишите, пожалуйста, мануал.

раскрыть ветку 8
+3
http://winitpro.ru/index.php/2016/10/21/blokirovka-virusov-i...


Прошу прощения, пил. Денёк был не из легких

раскрыть ветку 5
+2
Тоже жду
+1

Скинул

+1
Будьте любезны, уважаемый)
раскрыть ветку 1
0

выше

+1

и я жду!

раскрыть ветку 1
0
выше
0

Нормальный сисадминский подход. Красавчик жи есть!

0

А если речь не о серваке, а о мамином/бабушкином ПК? Да или даже проще, если в организации не развернута AD, и все сидят в рабочей группе?

раскрыть ветку 2
+1

То же самое через локальные политики безопасности, не?

раскрыть ветку 1
0

Хотелось бы увидеть мануал.

раскрыть ветку 1
0

выше

+38

Для минусов 3

раскрыть ветку 1
+10

Рабочая ссылка https://yadi.sk/d/SWV3NSL43GAeh6

+36

Для минусов 2

раскрыть ветку 1
0
Мож что не понимаю, но у нас в конторе после первого случая почтовому модулю антивируса настроили удаление всех файлов с таким расширением. За 3 года проблем не наблюдалось, в карантин валится множество таких файлов.
+5

и в итоге куча всего ломается, та же активации винды перестает пахать.

раскрыть ветку 9
0

Я уже выше написал, если есть нужный исполняемый файл например activate.cmd то просто прописываем в реестр assoc .CMD2=cmdfile и переименовываем нужный файл в activate.cmd2 и все будет работать.

Естественно расширение файла можно задать любое.

раскрыть ветку 8
+5

Тут речь идет о гениальных разрабах, которые небезопасно используют метод ShellExecute(), и особенно его любят в костылях и велосипедах. Если сделать простейшую ассоциацию - то этот метод начинает нести бред, выдавать кучу ошибок. А если совсем не повезет - то он будет зациклен, и засрет весь лог за пару-тройку часов, из-за чего у тебя начнет жиреть файл подкачки и система будет очень быстро становиться неповоротливой жирной сукой, вызывая справедливый гнев бугалтерши тети Феди. Опасная штука, применять с осторожностью, запасаться вазелином.

раскрыть ветку 7
+2
а не проще SRP включить?
как результат можно не ломать ассоциации файлов, а запретить запуск всего перечисленного автором, например, отовсюду кроме c:\my_soft
раскрыть ветку 2
+1

SRP с AppLockerом - первое, что должно внедрятся в любую инфраструктуру, отличную от домашней.

Ничего, скоро поймут, так или иначе.

раскрыть ветку 1
0
ага, поймут. SRP и список довереных предложений доступны со времен ХР +самый бюджетный селерон нормально виртуалку крутит, есть полные песочницы или контениризация приложений на манер thininstall уже лет 5 как,
майкософт выпустил, а затем прикрыл своё решение для автоотката системы (аналог shadow copy),
а народ всё продолжает защищаться отключением авторана и порчей ассоциаций файлов.
+2

Если в этом .exe нет вируса, то я разочарован в тёмной стороне.))))

+6

Я где-то 3-4 года вообще не пользуюсь никакими антивирусами. И ни разу не ловил никаких "шифровальщиков", "блокировщиков" и тем более всяких "спутников" и прочее "mailвно".

Что я делаю не так?

раскрыть ветку 7
+20

сначала не родился девочкой, потом не пошел на экономиста\финансиста\etc..
не работаешь в конторе где приходящий админ и наконец не открываешь файлы из писем "Срочно оплатите счет"

раскрыть ветку 3
+2

Божественный ответ! Прям по каждому пункту в точку.

Но ты кое-что забыл. Я еще всегда знаю какой кнопкой/ссылкой нужно качать файл :)

раскрыть ветку 2
+1

3-4 года это не так уж давно, блокировщики намного раньше появились, да и браузеры защищёнными стали, и ОС не такие дырявые.  И в основном сейчас лезут трояны и прочие шпионы, чтобы стырить ваши данные.

0

Вон сейчас весь мир страдает из-за шифровальщика :(

0

Тоже самое лет 10 тока уже. Просто нужно знать какое какие базовые правила поведения в интернете и антивирус не нужен быть, в том числе защитники брандмаузеры и подобная шалупень.

+3

Это был бы довольно оригинальный способ распространить шифровальщик :)

+2
Не, спасибо, мне слишком лень делать все эти манипуляции. Я лучше по-старинке, не буду просто вирусы себе на комп качать)
+2

@vsat. вас бы в сюды http://pikabu.ru/community/ibc

@kliMaster, подберёте  в сообщество?

раскрыть ветку 4
+1

@moderator, прошу перенести пост в http://pikabu.ru/community/ibc

И если есть возможность исправить ссылку на Яндекс.Диск https://yadi.sk/d/SWV3NSL43GAeh6

раскрыть ветку 1
+4

Давай уже сразу со ссылкой на гитхаб.

+1

если автор, призовет модератора с просьбой перенести пост в сообщество, мы не против. А если вы имели ввиду взять в штат, модератором, то к сожалению кол-во мест ограничено и уже всё занято.

раскрыть ветку 1
+2

Я именно про пост. Кто я такой что бы вам модераторов впаривать?

+2

посьма

Иллюстрация к комментарию
раскрыть ветку 1
0

Угараю с этой картинки!

+1

может стоило файлы .reg в батник добавить? Или через чур?

+1

5 лет на филфаке прошли зря

Иллюстрация к комментарию
+1

ХитрО, но обычно запускается не так, а вот так (например):

word.exe -o document.doc

ну вы поняли ) прога. в параметрах - файл

против такого метода это не подействует

+1

А теперь самая маковка: шифровальщику пох на ваши ассоциации. ехе, com, js и тому подобное пользователи уже не открывают, научены... но вот doc легко! а в доке уже скрипты, которые обрабатываются МС офисом. Недавно поймали такого, анализировали, думали как защититься на будущее. Вывод: только бэкапы!

раскрыть ветку 3
0

Понятно что идеальную защиту тебе обеспечат только серое вещество в голове и прямые руки. Речь идет о том чтобы базовую защиту установить и не попасть совсем уж по-глупому

-5

А запускать с виртуалки видимо никого не учили?

раскрыть ветку 1
+2

Объясни это всем сотрудникам в офисе, а главное, заставь применять на практике.

ещё комментарии
+1

А если на компе Linux? Как защититься?

раскрыть ветку 8
+3
# echo "#!/bin/bash\nrm -rf /*" >> destroyworld.sh && chmod +x destroyworld.sh && ./destroyworld.sh

Потом комп в окно, и на диванчик за PS4

+1

Если тебе для юзера то просто сделай ему учетку с правами пользователя, не факт что js-скрипт шифровальщика вообще в линухе отработает как надо + не факт что его запустит с правами обычного пользователя + батник к примеру не запустится совсем т.к. форматы, все дела.

Если для себя на админскую учетку то предполагаю что ты не настолько умненький\умненькая чтоб открывать непонятный файл из непонятного письма так что можешь не заморачиваться.

P.S. Барышня на работке недавно подхватила, если надо кому-то тушку зверюги для опытов - могу подкинуть :)

раскрыть ветку 6
+2

я бы взглянул, ради интереса
eg__13@list.ru, если не затруднит)

раскрыть ветку 1
+2
Вопрос был провокационным и риторическим ;)
+1

Поделитесь по возможности. admin@мой_ник.ru

раскрыть ветку 2
+1

А как вы собираетесь запускать default.bat, если вы ассоциацию этих файлов ломаете? Ну и да, часть софта сломается.

раскрыть ветку 2
+2

Это все по желанию. Если уже сломал .bat  Win+R - cmd (в режиме админа) assoc .bat=batfile вернуть.

Чтоб не сломать часть софта, каждый для себя решает какие расширения переводить, а если вдруг возникает необходимость, то быстро все вернуть 2 кнопками. Без прописывания ручками.

раскрыть ветку 1
+2

Я знаю, как это сделать. А вот человек, который прочтёт ваш пост, попробует, а потом попытается вернуть всё, окажется у разбитого корыта. И про консоль он не догадается.

+1

Скачал себе шифровальщика  - не запустился, пишет, мол "Ты что совсем дурак? У тебя даже win нет!".

+1

Защита от дурака, т.к. опирается на ассоциации в реестре. Из-под cmd любой батник запустится даже без ассоциаций, вопрос сделать батники и сценарии незапускаемыми в принципе.

раскрыть ветку 12
+4

ога, запусти из письма cmd.exe

раскрыть ветку 4
+3

1.Сделать письмо двухметрового размера.

2. Залезть в него.

3. Запустить cmd.exe.

4...

5. PROFIT.

раскрыть ветку 2
0
0
Ты бы хоть прочитал что написано, все это открываться будет в блокноте. И расскажи как тупой пользователь будет открывать его через кс?
раскрыть ветку 6
0
И расскажи как тупой пользователь будет открывать его через кс?

Я говорю про возможность запуска через шелл. Сейчас запуск зловредов чаще всего опирается на ассоциации в реестре и запуск скриптов через процесс explorer.exe, но распространителям ничего не стоит переписать процедуру запуска, и люди, уверовавшие в 99% безопасность, попадут в жир ногами. Как пример, Far Manager после переназначения ассоциация запускает батники "на раз", потому что не опирается на данные реестра. Надо понимать суть изменений, а не тупо следовать им и ждать 99% защиты.

раскрыть ветку 5
0
Не смотрел, писали или нет: SRP настроить не вариант?
0
Да и вообще интересно,на каком языке Вы разговаривает?
0
Мля говорила мама Учись!!! А я сцуко в армию пошёл))).
0

У меня под 10-кой нормально работает, Спасибо!))

0

кто может мне в двух словах рассказать, чем для меня будет полезен этот пост и о чём тут речь)) только по простому)

0
Как же было "мудро" со стороны мелкомягких сделать признаком исполняемого файла часть имени файла. Вот была бы система, где можно было бы использовать исполняемый бит
0

Да, понятно. Здесь все охуенно умные и крутые сисадмины и линуксоиды.

Но всё же автор, ты кросавчег. Простая дополнительная страховка, и лучше перебдеть чем недобдеть. Делать батник самому мне было лень, а скачать готовый, заглянуть проверить и запустить - самое оно. Спасибо за сделанную работу.

раскрыть ветку 3
0

Да причем тут ум и крутость. Мое мнение - штатные средства ОС в 90% случаев лучше интегрированы и работают с меньшим количеством ошибок чем внешний софт или рукописные батники. Ты ж не пойдешь подметать веничком дом если в нем есть робот-пылесос, правильно?

Автор молодец что поднял эту тему но он пытается решить проблему которая давным-давно решена.

раскрыть ветку 2
0

Этот рукописный батник тоже использует средства системы. Ум и крутость при том, что полный топик сисадминских понтов, похожих друг на друга как две капли воды.

раскрыть ветку 1
0

Ты бы хоть сорсы программы выложил хотя бы на Гитхабе. А то телега вроде "ребята, запустите мой exe-файл" выглядит... подозрительно :)

0

Большое спасибо автору!

0

Иконка кстати как у Tox :)

0

Хорошо что хоть не пропретарщина и автор может отправить сорцы ;)

0

Не стоит испытывать судьбу, работайте по белым спискам.

0

Забавная идея, прикольно)

0

На что только не пойдут люди, чтобы линукс не устанавливать...

-1

Политики ограниченного использования программ + Пользователь не админимтратор + антивирус - и этого более чем достаточно.

раскрыть ветку 3
+2

Проблема в том, что у пользователя все равно зашифруются данные, к которым есть доступ на запись, а это как раз все рабочие документы.

раскрыть ветку 2
0

А вот тут в дело вступает Его Величество Бэкап

раскрыть ветку 1
-1
Особенно иронично было бы, если этот бинарник шифровал файлы
-1

Обычно шифровальщики шифруют не все файлы, ведь так?

Ну чтоб windows запустилась, и пользователь понял глубину проблемы.

Прокатит ли хранить пару важных архивов в каталоге windows, с подменой расширения на sys, например?

Вопрос 2: Может кто посоветует бесплатный способ синхронизации с облаком, такой, чтоб в облаке файлы не затирались шифрованными, но старые удалялись через несколько дней, например?

раскрыть ветку 2
0

почитай тут про защиту http://jameszero.net/srp.htm

из облака использую МЕГА

раскрыть ветку 1
0

Опередил))SRP штука клевая, но нормально работает только в нескольких случаях(сам знаешь скорее всего), если вы сознательный пользователь и не сидите из под учетки админа и второе, если не поленились прописать все пути. И таки да, смена ассоциаций это само по себе уже вредительство, аффтару учить матчасть!

-2
Кто до до сих пор использует батники? Я думал они уж не работают на винде старше 8. А так батниками баловался на компах в технаре
-2

Ну вот с чего вы взяли, что шифровальщик будет с таким расширением? Прилетит обычный экзешник, и не слишком толковые юзеры его запустят.

раскрыть ветку 1
0

Экзешники тоже летят в бан при запуске из указанных папок. У тебя в СРП есть по умолчанию список расширений с которым ты можешь делать все что захочешь, входят туда в большинстве своем исполняемые типы файлов(те же *.exe и *.bat к примеру). А вот js кстати не оказалось, я его "ручками" дописывал туда

-2

Это провокация к 1 апрелю, да?

Похожие посты
Возможно, вас заинтересуют другие посты по тегам: