Comments 42
Если создать файл infpub.dat с атрибутом ReadOnly, это защитит машину?
Поможет ли запрет в групповых политиках (Политика ограниченного использования программ) выполнения infpub.dat и install_flash_player.exe?
Поможет ли запрет в групповых политиках (Политика ограниченного использования программ) выполнения infpub.dat и install_flash_player.exe?
Здесь исследование от Касперского — securelist.com/bad-rabbit-ransomware/82851
Они утверждают, что надо запретить выполнение файлов.
Они утверждают, что надо запретить выполнение файлов.
The abovementioned measures should be sufficient. However, as additional precautions we advise the following:
restricting execution of files with the paths c:\windows\infpub.dat and C:\Windows\cscc.dat in Kaspersky Endpoint Security.
configuring and enabling Default Deny mode in the Application Startup Control component of Kaspersky Endpoint Security to ensure and enforce proactive defense against this and other attacks.
Запретить выполнение файлов?
Так какие файлы нужно (и при этом возможно) запретить выполнять средствами ГП, чтобы при этом не запретить выполнятьвесь снег нужное?
— А потом вас там публично выпорют, как бродяг, и отправят в Сибирь убирать снег!
— Весь?
— Да! Снега там много.
Так какие файлы нужно (и при этом возможно) запретить выполнять средствами ГП, чтобы при этом не запретить выполнять
Логично запретить выполнение всех исполняемых файлов из папки Загрузки. Если их всё таки надо будет запустить то их можно будет переместить в другую папку, но это будет уже осмысленное действие пользователя.
Такая мера хорошо помогала мне в администрировании компов непродвинутых пользователей. Аналогично можно запретить запуск со всех дисков, кроме тех которые изначально присутствуют, это хорошо помогает от вирусов с флешек/сетевых шар.
Работе такие меры как правило не мешают, просто надо проинструктировать пользователя, что если надо запустить программу и она не запускается скопируй в другую папку, но если ты скачал например музыку, и она не запускается то её вообще открывать не надо, а надо удалить.
Такая мера хорошо помогала мне в администрировании компов непродвинутых пользователей. Аналогично можно запретить запуск со всех дисков, кроме тех которые изначально присутствуют, это хорошо помогает от вирусов с флешек/сетевых шар.
Работе такие меры как правило не мешают, просто надо проинструктировать пользователя, что если надо запустить программу и она не запускается скопируй в другую папку, но если ты скачал например музыку, и она не запускается то её вообще открывать не надо, а надо удалить.
UFO just landed and posted this here
Интересно с чем связан такой «упор» на Украину в статье, если в этот раз самая пострадавшая страна РФ?
Поддерживаю.
Россия – 65%
Украина – 12,2%
Болгария – 10,2%
Турция – 6,4%
Япония – 3,8%
другие – 2,4%
Или почему не сказали про Болгарию? Разница с Украиной лишь 2%.
Прошлого раза самая пострадавшая страна была Украина, потому и акцент
Возможно, это было сделано, чтобы подчеркнуть отличие от Petya.
Да и если это абсолютные цифры, то они ничего не показывают.
Население Украины в 3 раза меньше России. Болгарии в 20. А есть еще соотношение установленного данного Антивируса у конечных пользователей.
По моему мнению это должны быть проценты относительного срабатывания, которые и должны показывать степень угрозы для страны.
Население Украины в 3 раза меньше России. Болгарии в 20. А есть еще соотношение установленного данного Антивируса у конечных пользователей.
По моему мнению это должны быть проценты относительного срабатывания, которые и должны показывать степень угрозы для страны.
"Шо?! Опять?.."
Интересно где можно взять этот install_flash_player.exe, что бы проверить, действительно ли это спасёт машины от дальнейшего заражения.
Небольшой оффтоп.
В списке паролей: love, sex, secret, god. Создатель шифратора явно смотрел «Хакеры» 1995 года :)
В списке паролей: love, sex, secret, god. Создатель шифратора явно смотрел «Хакеры» 1995 года :)
Как подметил Касперский, Game of Thrones им тоже нравится :)
Хорошо бы знать md5 и sha-256 образцов файлов, чтобы запретить запуск через касперского
Ок… как можно защититься?
Какие рекомендации?
Какие рекомендации?
Интересно, «не совсем настоящее» окно обновления флеш-плеера — это недоработка или сознательно оставленный шанс внимательным людям?
«Файлы зашифрованы с расширением .encrypted» ну что ж вы пишите?.. Нет дополнительного расширения у зашифрованных файлов…
UFO just landed and posted this here
Учитывая методику распространения и способ шифрования, можно сказать, что на волне распространения шифровальщиков стало появляться всё больше подражателей, а сами троянцы становятся более тупыми и жадными.
Я не совсем понял, что нужно сделать чтобы заразится? Нужно зайти на сайт и скачать обновление для flash?
По рекомендации ЛК отключил через ГП запуск WMI:
www.kaspersky.ru/blog/bad-rabbit-ransomware/19072
Но при этом системы стали ругаться, что отключена служба обеспечения безопасности. Т.е. получается, что лекарство может оказаться хуже болезни?
Насколько критично отключение этой службы? К каким нехорошим последствиям это может привести?
www.kaspersky.ru/blog/bad-rabbit-ransomware/19072
Но при этом системы стали ругаться, что отключена служба обеспечения безопасности. Т.е. получается, что лекарство может оказаться хуже болезни?
Насколько критично отключение этой службы? К каким нехорошим последствиям это может привести?
UFO just landed and posted this here
Автоматический анализ счетчиков производительности, увы, пока не производится. Поэтому не жалко.
Конечно, WMI нужна для удаленной инвентаризации (да и для локальной тоже). Но, в случае чего, ее и включить опять через ГП можно будет или локально.
Конечно, WMI нужна для удаленной инвентаризации (да и для локальной тоже). Но, в случае чего, ее и включить опять через ГП можно будет или локально.
Все оказалось не столь радужно.
После отключения WMI (а это потянуло за собой отключение по цепочке и других служб) отвалились сетевые ключи защиты 1С и WinSmeta, нарушилось подключение к расшаренным принтерам.
Пришлось сегодня с утра бодренько вместо зарядки удалять это правило из ГП и включать потребные службы на серверах и рабочих компах.
Плохой, плохой кроликс :(
После отключения WMI (а это потянуло за собой отключение по цепочке и других служб) отвалились сетевые ключи защиты 1С и WinSmeta, нарушилось подключение к расшаренным принтерам.
Пришлось сегодня с утра бодренько вместо зарядки удалять это правило из ГП и включать потребные службы на серверах и рабочих компах.
Плохой, плохой кроликс :(
ESET, сорри за оффтоп — но тут интересуются, а почему ты не помечаешь Тимвьюер даже как потенциально опасное ПО? В то время как практически все остальные ремоут контролы, например Radmin — помечаешь.
А то ведь вопрос все-таки связан с безопасностью пользователей. Получается, что один (избранный) ремоут контрол всегда и везде у тебя получает зеленый свет. Даже если он напичкан вирусами и троянами по самое нехочу.
А то ведь вопрос все-таки связан с безопасностью пользователей. Получается, что один (избранный) ремоут контрол всегда и везде у тебя получает зеленый свет. Даже если он напичкан вирусами и троянами по самое нехочу.
И это при том, что Radmin даже не умеет работать через zero-configuration, т.е. для соединения через интернет с Radmin всегда нужен проброс портов. В то время как для Тимвьюера достаточно ID.
И однако же Radmin у тебя потенциальное опасное ПО, а Тимвьюер по неведомой нам причине — нет.
И однако же Radmin у тебя потенциальное опасное ПО, а Тимвьюер по неведомой нам причине — нет.
Оффтоп, да. Детектируем те сборки Team Viewer, которые были модифицированы злоумышленниками для вредоносных целей. Фактов использования оригинальной версии Team Viewer в таких целях отмечено не было.
Детектирование Radmin в качестве потенциально опасного ПО корректно, так как данная программа зачастую некорректно используется злоумышленниками (в отличие от Team Viewer).
Детектирование Radmin в качестве потенциально опасного ПО корректно, так как данная программа зачастую некорректно используется злоумышленниками (в отличие от Team Viewer).
Т.е. вы утверждаете, что оригинальный Тимвьюер не используется в широко известной схеме microsoft tech support scam, когда клиента по телефону обманом (под видом сотрудника MS) заставляют зайти на сайт Тимвьюера, скачать его, и сообщить ID и пароль? Самый обычный Тимвьюер, с сайта производителя. Не модифицированный.
Вы серьезно это утверждаете? От имени компании? :)
Если это не использование для вредоносных целей — то что тогда вообще использование для вредоносных целей? Неужели пользователь не имеет права знать, что на его компьютере запускается потенциально небезопасное ПО? Каким и является Тимвьюер по своей сути.
Вы серьезно это утверждаете? От имени компании? :)
Если это не использование для вредоносных целей — то что тогда вообще использование для вредоносных целей? Неужели пользователь не имеет права знать, что на его компьютере запускается потенциально небезопасное ПО? Каким и является Тимвьюер по своей сути.
Детектируем те сборки Team Viewer, которые были модифицированы злоумышленниками для вредоносных целей.
Да что вы? А давайте проверим.
Заходим в один очень известный варезник/борд и для целей проверки/тестирования качаем парочку пропатченных дистрибутивов Тимвьюер. Не буду приводить ссылки здесь — вы прекрасно знаете, о каком сайте речь.
Итак — барабанная дробь — результат тестирования пропатченного экзешника Тимвьюер продуктом ESET. Но сначала версия базы сигнатур:
imgur.com/zMl7LWW
Вот детект с выключенным «Обнаружением потенциально опасного (и нежелательного) ПО»:
imgur.com/DevmPmE
А вот детект с включенным «Обнаружением..»:
imgur.com/IkkWrh5
Вопрос к залу — вам не кажется странным, что компания ESET уж как-то слишком трепетно относится к Тимвьюеру? А журналисты в курсе? А безопасники?
Чуть поправлю — пропатченного дистрибутива, конечно (exe). Но это сути не меняет. А суть такая — какой-то левый неподписанный дистрибутив с Тивьюером внутри запускается на компе — и ESET ничего не предпринимает.
Если бы это был дистрибутив какого-либо другого продукта, того же Radmin — пользователь бы устал закрывать сообщения об обнаруженных угрозах. Но с Тимвьюером как-то все оно, знаете ли, мутно у вас…
Если бы это был дистрибутив какого-либо другого продукта, того же Radmin — пользователь бы устал закрывать сообщения об обнаруженных угрозах. Но с Тимвьюером как-то все оно, знаете ли, мутно у вас…
Не знаю кого как, но меня, как пользователя ESET Internet Security 10, все это слегка напрягает.
Давайте с этой историей на мейл саппорта sdd@esetnod32.ru, если вам правда интересно.
Тема к исходному посту отношения не имеет.
Тема к исходному посту отношения не имеет.
Разве это только мне интересно? Тут скорее всего присутствует не один специалист по безопасности. Возможно даже и из ваших клиентов или госучреждений.
Я более чем уверен, что и они хотят послушать ответы на вопросы выше. Ведь факты налицо — и их как-то надо объяснить. Безопасник не может просто взять и отбросить какие-то факты. Они его ночью будут преследовать :) Особенно если он отвечает за сеть корпорации, или упаси Боже — какой-нибудь федеральной службы.
Я более чем уверен, что и они хотят послушать ответы на вопросы выше. Ведь факты налицо — и их как-то надо объяснить. Безопасник не может просто взять и отбросить какие-то факты. Они его ночью будут преследовать :) Особенно если он отвечает за сеть корпорации, или упаси Боже — какой-нибудь федеральной службы.
Понимаю, что вашему маркетингу и службе безопасности сейчас непросто. Но даю подсказку:
1. Правильный ход действий: Отвечаете, что «О, ужас, конечно мы немедленно примем все меры и начнем детектировать пропатченные Тимвьюеры. Ведь это недопустимо, чтобы они попадали на компьютеры наших клиентов незамеченными. И да, конечно же, детект остальных легитимных ремоут контролов тоже несправедлив и нарушает антимонопольное законодательство. Поэтому, раз мы не детектим оригинальный Тимвьюер, мы не будем детектить и другие известные ремоут контролы. Ведь мы крупная и самостоятельная антивирусная компания, и в состоянии отличить легитимный продукт от пропатченного.»
2. Неправильный ход действий. Упираться рогом и оправдываться даже при наличии вопиющих фактов выложенных публично. Nuff said.
Уловили разницу? К сожалению, путь №2, судя по рынкам других стран, наиболее часто выбирается вашей компанией. Ну что ж, каждый сам выбирает свой путь.
1. Правильный ход действий: Отвечаете, что «О, ужас, конечно мы немедленно примем все меры и начнем детектировать пропатченные Тимвьюеры. Ведь это недопустимо, чтобы они попадали на компьютеры наших клиентов незамеченными. И да, конечно же, детект остальных легитимных ремоут контролов тоже несправедлив и нарушает антимонопольное законодательство. Поэтому, раз мы не детектим оригинальный Тимвьюер, мы не будем детектить и другие известные ремоут контролы. Ведь мы крупная и самостоятельная антивирусная компания, и в состоянии отличить легитимный продукт от пропатченного.»
2. Неправильный ход действий. Упираться рогом и оправдываться даже при наличии вопиющих фактов выложенных публично. Nuff said.
Уловили разницу? К сожалению, путь №2, судя по рынкам других стран, наиболее часто выбирается вашей компанией. Ну что ж, каждый сам выбирает свой путь.
Sign up to leave a comment.
Bad Rabbit: Petya возвращается