luftmass

ПРО КОМОДО- ЭТО НЕ СТЁБ?

RP55.RP55

Это всё хорошо - но очень это плохо.
В том смысле: чтобы _верно настроить HIPS нужны шифраторы, их запуск...
Контроль и оценка результатов - насколько результативны правила.
Появиться новый шифратор - опять тестировать его и проверять правила.
В общем (:
-------
Самое простое это изменить расширения ценных файлов.
Как я предложил здесь: http://forum.esetnod32.ru/messages/f.../#message75282
см. сообщение #3

luftmass

я читал про ваш метод.
но как-то мне видится не очень удобно сбросив фото на диск(скажем штук 100) начать их переименовывать(вручную),если только скрипт какой-нить ваять?(для автомата)

safety

почему вы так решили? нет конечно. у них HIPS был создан одними из первых.

safety

а чем еще должен заниматься вирлаб? тестировать, и создавать правила блокировки по типичным шифраторам. поскольку расшифровка - это тот самый "журавлик в небе", который не получается поймать и принести для юзеров, пострадавших от действий шифраторов.

RP55.RP55

safety
Да я не про вир-лаб.
Я про человека который сидит дома/на работе и думает что делать ?
---------
luftmass

Есть программы пакетного переименования файлов.
Файловые менеджеры и т.д.
Можно выбрать: http://soft.oszone.net/search/?q=%EF...%E8%E5&x=0&y=0

safety

тут в одиночку человек не справится с этой проблемой. только согласованная работа. каждый должен заниматься на своем фронте. кто-то анализировать, кто-то тестировать, кто-то создавать правила и добавлять в HIPS.

это то что касается индустрии.

luftmass

А про это что скажете, господа:CryptoPrevent
имеет смысл поюзать?
Скажем простая связка CryptoPrevent+ песочница?

все таки об этом:

а завтра они будут шифровать по критерию" папка с файлами"
а я тут фотки сижу спокойненько переименовываю и горжусь собой...

я по наивности до этого тоже думал, что jpeg никому нафиг не нужен...

RP55.RP55

luftmass

По CryptoPrevent
Кто её проверял ?
А раз не проверяли, то и говорить о ней нет смыла.
--------------
В будущем могут и Но сейчас этого нет.
Да и процесс шифрования будет занимать больше времени.
--------------
Если нужен оригинальный метод защиты.
Отключите самозащиту вашего антивируса.

Пройдите по адресу
C:\Program Files\Kaspersky***

Создайте свою папку в каталоге антивируса.
C:\Program Files\Kaspersky\Мои фото

Включите самозащиту антивируса.
И всё
Файлы можно смотреть; копировать - но изменить их будет невозможно.

------------
Главное при удалении антивируса не забыть про фото.
А то...
Прежде всего делать резервные копии файлов.

luftmass

это только в Каспере возможно?
а то я его как-то недолюбливаю,громоздок...(не холивар)

RP55.RP55

Можно в любом антивирусе в котором есть самозащита.

Антивирус защищает файлы в своей директории.
- По каждому конкретному антивирусу нужно проверять - смотреть, что и как.
-----
Но это всё танцы с бубнами.

luftmass

а как без них-то?
возможно что-нибудь сваять по-легкому?
как я понял нет более-менее универсального и доступного метода?
Т.е. чисто везение? вдруг не вляпаешься?

RP55.RP55

Есть программы ограничивающие доступ к определённым папкам.
Можно ими воспользоваться.
Но...
Есть один недостаток - вы открыли папку - начали с ней работать...
А в это время в системе активен шифратор...
Да и как сама программа работает - насколько надёжно, тоже вопрос.

safety

CryptoPrevent есть бесплатные и премиум версии, (вторая - платная, но вообщем то недорогая штука, с обновлением)
здесь ее рекомендуют в качестве защиты от шифраторов.
http://www.bleepingcomputer.com

Насколько понял, CryptoPrevent не мониторит систему, но позволяет редактировать политику безопасности. работает как конструктор локальной политики. В отсутствие адекватного хипса, видимо это единственное решение - создавать локальные политики безопасности по ограничению запуска программ. Времени не было пока еще с ней разобраться...

http://www.foolishit.com/vb6-project...t-auto-update/

Free edition contains:

CryptoLocker and copycat protection (malware that encrypts your files for a ransom.)
Protection from fake file extensions and other attacks found in most trojan based malware.
Over 250 policy rules created to block malicious executables depending on options selected.
Options to disable certain types of protection or rules, and optionally to remove rules individually as necessary.
Event viewer for examining the event details and the rule that blocked any application.
Manual updating of both the application and definition files.
------------------------
.....
Защита от фальшивых расширений файлов и других нападений, используемых в большинстве троянских вредоносных программ.
Более 250 правил политики, созданные для блокирования вредоносных исполняемых файлов в зависимости от выбранных параметров.
Опции для отключения отдельных видов защиты или правил, и, возможноcть удалить правила индивидуально по мере необходимости.
Просмотр событий для исследования сведений о событиях и правило, что блокирован любое приложение. (проще говоря, логи)
Руководство обновление как приложения и файлы описания.

Premium edition adds:

Worry free, hands free, automatic and silent updating of application and definitions on a regular schedule.
Email alert option to notify you via email when an application is blocked. (email setup required.)
Enable custom allow and block policies, for powerful customization of your protection!
Current protection automatically, for the lifetime of the product! Malware updates itself! Shouldn’t you update CryptoPrevent to keep it relevant?
----------------------------
Price: $15.00




-------------
по политикам то что нужно для блокирования шифраторов: правила с указанием относительных путей и масок файлов.
(с указанием белого списка исключений)
единственно, непонятно, где хранятся эти правила, и кто так сказать "шериф", который следит за соблюдением правил.


правила работают при запущенном CryptoPrevent



просмотр событий в CryptoPrevent


-------------
другое дело, что политики ограниченного запуска могут быть так же снесены трояном. если они хранятся в реестре и не защищены.
но здесь можно защитить эти ключи в реестре с помощью HIPS

RP55.RP55

Можно проще... поместить все фото в архив.
например: Мои фото.rar

А потом переименовать архив в Мо7и ф7от7о.***