Перейти до змісту

ідейка по боротьбі з вірусами


MACCEN

Рекомендовані повідомлення

Як правило віруси приходять в архівах, може в політиках AD виставити пправило, коли запускається архів батнік перевірить його на вміст та видалить файли по масці.

Для rar знайшов таке рішення:


@cmdow @ /HID
::@echo off
set SrcPath=D:\Arch\1
set DestPath=D:\Arch
set d=%DATE%
"C:\PROGRA~1\WinRAR\rar.exe" a -m5 -s -y -ep1 -r -ag -x*1.txt "%DestPath%\%d%.rar" "%SrcPath%\*.*"

Посилання на коментар
Поділитись на інші сайти

З того що дивився по свому поштовику вірусня приходить в двох вкладених один в один зіп файлах.

Посилання на коментар
Поділитись на інші сайти

Це вже давно реалізовано в антивірусах для поштових серверів (в тгму числі рекурсивна перевірка і її глибина), для чого винаходити велосипед.

Посилання на коментар
Поділитись на інші сайти

Бекап, і тільки бекап дасть 100% гарантію. Акроніксом архівація диска С: займає 10-15 хв. Для спокою параноїка можна .tib перейменувати :) (можливо найдеться і на нього шифратор)

Посилання на коментар
Поділитись на інші сайти

Антивіруси як правило не ловлять макроси й прочу хрєнь, та й деяке відчуття що віруси пишуть власрики антивірусів.

Порадьте антивірус для почтовика для вінди та лінукса.

Посилання на коментар
Поділитись на інші сайти

Антивіруси як правило не ловлять макроси й прочу хрєнь, та й деяке відчуття що віруси пишуть власрики антивірусів.

Порадьте антивірус для почтовика для вінди та лінукса.

Лінукса?

пінгвіна шо теж вже почали віруси мучити?

Посилання на коментар
Поділитись на інші сайти

Воронін, а то нічого, що поштовий сервер може бути на Лінуксі, і краще, коли він перевіряє і фільтрує пошту на наявність вірусів і тільки тоді передає її клієнту на Вінді?

Посилання на коментар
Поділитись на інші сайти

Антивіруси як правило не ловлять макроси

помилка. Ловлять, ще й як. Деякі уричать на все горло "уязвимость"!!

та й деяке відчуття що віруси пишуть власрики антивірусів.

Давно ні для кого не новина :)

Порадьте антивірус для почтовика для вінди та лінукса.

Було рішення від Dr.Web.

Від nod32 є. Точно.

Посилання на коментар
Поділитись на інші сайти

Також можу порекомендувати рідний безкоштовний Лінуксовий ClamAV, досить непогано справляється з потрібними задачами.

Також ще є AntiVir Professional Linux, але для нього є одне серйозне але (с 30 июня 2016 прекращается разработка и поддержка продуктов для Linux).

Посилання на коментар
Поділитись на інші сайти

Сьогодні бачив свіжачок: вірус у каб файлі

на різних антивірусах потестив - каже "нема тут віруса"

заради цікавості відправив собі на гмейловську пошту - гмейл пропустив

Посилання на коментар
Поділитись на інші сайти

Сьогодні бачив свіжачок: вірус у каб файлі

Ну, бе там немає кода, як такого. Є просто грубо кажучи програмка. Шифратор.

Он щойно принесли флешку - вафлі..

Посилання на коментар
Поділитись на інші сайти

наскільки мені здалося - поштою приходить лише завантажувач віруса

бо файл в пошті 19 кб, а exe файл вірусу в темпі більше 600, + він на робочий стіл закидає bmp файл зі своїми вимогами

треба буде його на віртуалці запустити і подивитися куди він конектиться і по яких портах.

якщо поштою приходить таки не сам шифратор а лише його завантажувач - то покрутивши правила фаєрволу можливо вдасться захиститись від ризиків

Посилання на коментар
Поділитись на інші сайти

то покрутивши правила фаєрволу можливо вдасться захиститись від ризиків

Не знаю. Навря чи. Пошта регається пачками. Лінки динамічні.

Посилання на коментар
Поділитись на інші сайти

перевірити можна...це недовго. але вже завтра спробую

Посилання на коментар
Поділитись на інші сайти

Теж cab приходив, одна роззява зацепила віруса.

Одразу якщо побачили вікно треба вирубити взагалі мережу, тоді шифратор нічого не зможе зробити, так було на одному компі встиг вирубити, бо прибіг юзер з криком вірус.

Посилання на коментар
Поділитись на інші сайти

дразу якщо побачили вікно треба вирубити взагалі мережу,

Вікно кого / чого?

До мене подзвонила юзер і сказала, що в неї на флншці всі файли не читаються. Я лише побачив крякозябли після розширення, одразу все зрозумів.

Походу процедура така: Знайти сам даунлоадер віруса. Потім вірус уже скачаний. З ним там ще мають бути програми шифратори і ключі.

Це все треба відіслати і там уже будуть дивитися і шукати антивірус.

Посилання на коментар
Поділитись на інші сайти

вікно віруса, буде видно відлік часу, та жовті кнопкі

Посилання на коментар
Поділитись на інші сайти

Одразу якщо побачили вікно треба вирубити взагалі мережу, тоді шифратор нічого не зможе зробити, так було на одному компі встиг вирубити, бо прибіг юзер з криком вірус.

сиджу, бавлюсь з вірусом на віртуалці

з того що побачив - якщо вікно віруса вискочило, то вже купа файлів пошифровані, якщо не всі...

Посилання на коментар
Поділитись на інші сайти

прикол в тому, що коли мене покликав юзер, і там вікно було це з вірусом, я просто виключив від лана, і почистив від вірусу, і ніякі файли не пропали взагалі.

на інших компах покликали пізніше, то там всі шифранулись, хоча пробував, программа давала 5 файлів розшифрувати, пробував вертати цю функцію, але після 5 розшифрованих перстала працювати така можливість

Посилання на коментар
Поділитись на інші сайти

з того що побачив - якщо заблокувати пару діапазонів ір-шок, то вірус не може викачати шифратора і ніфіка не робить

65.55.50.1-65.55.50.254

213.186.33.1-213.186.33.254

і одна айпішка 184.168.190.88

мав для експериментів 2 різних віруси - обоє в ці діапазони ломилися

В когось іще лишилося бяка що приходить поштою? поділіться... позаглядаю куди іще ломиться

Посилання на коментар
Поділитись на інші сайти

vampirich,

тобто якщо буде стояти фаэрвол, з правилом забороняти усе крім дозволених, то не пустить?

яким процесом(файлом) ломиться в інет?

Посилання на коментар
Поділитись на інші сайти

Revolver, теоретично так, якщо мається на увазі перелік адрес дозволених

якщо служби і протоколи, то вірус використовує 80 і 443 порти, і тут ніфіка не зробиш

Коли нема прямого виходу в нет, а лише проксі - теж вірус нічого не робить

яким файлом? тим що поштою прийшов, кожен раз інше ім"я

з.і. не факт що новіші версії не будуть ломитися по іншим адресам

на юзерських машинах слід позаблоковувати запуск scr файлів

Посилання на коментар
Поділитись на інші сайти

просто тут писали, що грузить свхост

то я вже подумав, що воно таке хитре лізе в інет на рівні системи, руткітом, але то видно воно просто кодує ресурсами системи

Посилання на коментар
Поділитись на інші сайти

Хз. можливо є модифікації різні. я кажу про ті 2 екземпляри що приходили до мене. з ними і бавився

Посилання на коментар
Поділитись на інші сайти

ось тут я описав траблу. Слідкуйте за ходом подій.

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.


Hosting Ukraine
AliExpress WW


×
×
  • Створити...