Winassociate - топорная рекомендация от шифровальщиков

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Хочу довести информацию, что данный топорный метод #comment_82295458 имеет место быть.

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

После этого все исполняемые файлы с которыми часто запускаются шифровальщики будут ассоциироваться с текстовым файлов и открываться в блокноте.

Если потребуется вернуть стандартные значения прописываем в командной строке:

assoc .bas=basfile
assoc .js=jsfile
assoc .jse=JSEFile
assoc .CMD=cmdfile
assoc .com=cmdfile
assoc .hta=htafile
assoc .pif=piffile
assoc .GADGET=Windows.gadget
assoc .SCR=scrfile
assoc .VBE=VBEFile
assoc .VB=VBFile
assoc .vbs=VBSFile
assoc .wsf=WSFFile
assoc .wsc=scriptletfile
assoc .wsh=WSHFile
assoc .bat=batfile

Для упрощения данных операций написал следующую простую программу

Аналог есть в интернете Unassociate-File-Types которая - Не запускается в Windows 10


+ добавил расширения исполняемых файлов

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Было желание сделать только для данных расширений, но позже добавил

+ Админ.панель которая показывает и позволяет менять все расширения (ассоциации)

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Файл занимает 225КБ в комплекте .bat файлы для тех кто не собирается запускать программу

default.bat - Вернуть ассоциации по умолчанию
modify.bat - Замена основных исполняемых файлов на текстовый формат
exe.bat - На всякий случай если словили вирус .lnk
show accos - Показать все ассоциации
Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Для того чтобы проверить в папке "test" пустые файлы со всеми расширениями в списке

Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Программа будет работать только если Запустить от имени администратора

Для желающих напишите на почту отправлю исходники


Советы, рекомендации, пожелания туда же

vsat.info@yandex.ru
Winassociate - топорная рекомендация от шифровальщиков Вирус, Шифровальщик, Cmd, Программа, Расширение, Assoc, Информационная безопасность, IT, Длиннопост

Спасибо тем кто дочитал, надеюсь кому нибудь окажется полезной.

Для тех, кто резко против прошу не топить (коменты для минусов прилагаются)


Яндекс.Диск

Информационная безопасность IT

1.4K постов25.5K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Вы смотрите срез комментариев. Показать все
2
Автор поста оценил этот комментарий

Защита от дурака, т.к. опирается на ассоциации в реестре. Из-под cmd любой батник запустится даже без ассоциаций, вопрос сделать батники и сценарии незапускаемыми в принципе.

раскрыть ветку (12)
4
Автор поста оценил этот комментарий

ога, запусти из письма cmd.exe

раскрыть ветку (4)
4
Автор поста оценил этот комментарий

1.Сделать письмо двухметрового размера.

2. Залезть в него.

3. Запустить cmd.exe.

4...

5. PROFIT.

раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Если б было так просто, то никто бы не извращался через вызов скриптов. Оутлук не даст запустить вложенный ехе. Запущенный из архива ехе будет выполнен без обвязки скриптов, что в архиве лежат, а если в ехе будет всё запрятано, то тут теряется весь смак, в скриптах проще обфусцировать на лету вредоносный код, нежели в ехе. Да и ехе обычно режутся прямо на сервере.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Вы не умеете в юмор, ведь так?

Автор поста оценил этот комментарий
Автор поста оценил этот комментарий
Ты бы хоть прочитал что написано, все это открываться будет в блокноте. И расскажи как тупой пользователь будет открывать его через кс?
раскрыть ветку (6)
Автор поста оценил этот комментарий
И расскажи как тупой пользователь будет открывать его через кс?

Я говорю про возможность запуска через шелл. Сейчас запуск зловредов чаще всего опирается на ассоциации в реестре и запуск скриптов через процесс explorer.exe, но распространителям ничего не стоит переписать процедуру запуска, и люди, уверовавшие в 99% безопасность, попадут в жир ногами. Как пример, Far Manager после переназначения ассоциация запускает батники "на раз", потому что не опирается на данные реестра. Надо понимать суть изменений, а не тупо следовать им и ждать 99% защиты.

раскрыть ветку (5)
Автор поста оценил этот комментарий
Так вся суть шифровальшика в том что это скрипт, который не запустится если ты откроешь его блокнотом
раскрыть ветку (4)
Автор поста оценил этот комментарий

Друг, ты чем читаешь? Дубль два: зарегистрировал батник на запуск Блокнотом, запустил батник в Far Manager - он исполнился, как батник, а не открылся в Блокноте, потому что Far не обращается к реестру за инструкцией по запуску, у него свой процесс, который управляет обработкой команд, .vbs, .hta, .pif и т.д. исполняются, как должно по-умолчанию.

Чтобы обезвредить трояны, нужно блокировать доступ к процессам vssadmin.exe, syskey.exe, cipher.exe, отключать Windows Scripting Host и много чего ещё. Из известных инструментов хорошо работает Hitman.Alert, например.

раскрыть ветку (2)
Автор поста оценил этот комментарий
Нормально я читаю, и еще раз пример:

приходит письмо со вложением счет на оплату работы бобров.doc.js

пользователь с нормальными ассоциациями файлов получает кучу зашифрованного шлака

пользователь с ассоциациями на .txt просто открывает скрипт на просмотр


Кто сейчас пользуется фаром или командером? Из моих 170 пользователей 1 бабуля. Для того что бы обезвредить троян (а шифровальшик это не троян) нужно проверять файлы весом до 5-10 метров антивирусом на шлюзе и иметь антивирус на каждом пк, настроить теневое копирование, ограничить права пользователя.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Насчёт Far, что значит "Кто сейчас", типа, древность? Да нифига, его постоянно пилят, а удобство в работе с файлами даёт фантастическое, особенно, когда надо много и часто править конфиги, например. И я не говорю, что способ не работает, я говорю, что не надо расслаблять булки.


а шифровальшик это не троян

Да неужели? Одного из моих клиентов в прошлом году поймали на слабый пароль гендира, подсунув в автозагрузку обычный .exe, хорошо дело в терминалке было. Не надо недооценивать ни хитрость мошенников, ни глупость пользователей.

Автор поста оценил этот комментарий

Скрипт там обычно только инъектор, который как средство доставки боеприпаса - может быть каким угодно, лишь бы достигало цели. Сгодится любой механизм выполнения кода, начиная от поддерживаемых скриптовых языков, коих в окнах более чем дофига, заканчивая классикой в виде сокрытия папок на сменных носителях и открытых сетевых ресурсах с подменой их ярлыками с нужными параметрами. Когда не прокатит одно - прокатит другое, и так до тех пор пока не закроешься белым списком с обязательной проверкой издателя, что, в принципе, тоже не панацея, потому как и то и другое можно весело обходить с банальными пользовательскими правами - особенность архитектуры.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку