https://www.virustotal.com/file/b4a1a5e40b85cbb415cbf37036be852335a731f6a89c59ddfeeff0f08343cd76/analysis/
Причина по которой словился вирус: кто-то ( не будем говорить кто) сидел за компом используя IE9, а уж всем известно что там ооочень и очень много эксплойтов под него.
Результат: при следующем запуске компа получил удачный скриншот с просьбой оплаты :)))
Конечно, я с этим тут же разобрался и вылечил систему.
locker проиался в автозапуск из паки TEMP :
C:\Users\<username>\AppData\Local\Temp
Что делать, если вдруг какой-то любой другой гаденыш сюда зелезет и пропишется в автозауск ?
Идеи:
Блокируем запуск всех программ кот-е в папке C:\Users\<username>\AppData\Local\Temp
Для этого:
1. используем Локальные олитики безопасности
2. Создаем новую политику для Ограниченного использования программ:
3. Вбиваем туда наш Зловестный путь:
И вуаля - больше ничто никогда не запустится с этой папки....
Конечно же, я проверил это на том же зловреде.
вот рузультат :
Имя журнала: Application
Источник: Microsoft-Windows-SoftwareRestrictionPolicies
Дата: 10.11.2012 17:04:46
Код события: 866
Категория задачи:Отсутствует
Уровень: Предупреждение
....
....
Доступ к C:\Users\test\AppData\Local\Temp\1.4667602781955421E7.exe был ограничен по расположению; администратор применил правило политики {0758567e-1c6d-4330-9feb-d76b01c814d2} к пути C:\Users\test\AppData\Local\Temp.
......
Комментариев нет:
Отправить комментарий