VAULT. что делать?
В связи с широким распространением шифратора VAULT (ранее это были keybtc/paycrypt), который использует для несанкционированного шифрования документов пользователя gpg.exe из состава GnuPG (c последующим предложением о выкупе ключа secring.gpg) есть ли возможность превентивно завершить процесс шифрования? после того пользователь открыл "документ" из электронной почты,а установленные антивирусы сигнатурно и проактивно не заметили ничего подозрительного в запускаемом js скрипте, который или скачивает из сети необходимые модули и файлы для шифрования, или содержит все необходимое в теле js в закодированном base64 виде.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 27 документов: 3 редакций: 6
злоумышленники здесь используют естественную уязвимость другого рода. мышление.
пользователи сами все скачивают, и сами запускают. их лишь слегка подталкивают к этому методами соц_инженерии.
gpg.exe и iconv.dll как правило скачиваются из сети с другими именами, иногда модуль gpg.exe может быть упакован в UPX для изменения размера,
а после копирования в %temp% юзера эти файлы будут переименованы, например в svchost.exe. поэтому по имени не получится заблокировать процесс.
Я использовал такой метод:
копирую в %temp% из известной ключевой пары pubring.gpg и защищаю его от удаления и перезаписи.
в итоге после запуска исполняемого энкодера, новый ключ не может быть создан, шифрование продолжается, но уже моим ключом.
С домашними пользователями виндовс решения я вообще не вижу. Всё равно разрешат и запустят.
комментариев: 1060 документов: 16 редакций: 32
А червь такой тупой, что не делает имена временных файлов уникальными. Куда катится мир?..
комментариев: 27 документов: 3 редакций: 6
здесь все средства хороши:
бэкапы, локальные политики, сигнатуры, правила HIPS, но хотелось бы привязки правил к особенностях работы gpg.exe,
чтобы если один рубеж обойден (политики и сигнатуры), то на пути шифратора срабатывал, другой уровень защиты – HIPS с привязкой к особенностям работы GnuPG.
восстановление из бэкапа – процедура, которая занимает время.
комментариев: 27 документов: 3 редакций: 6
червь то не тупой,
но ключи pubring.gpg, secring.gpg создаются модулем gpg.exe.
даже если он переименован и упакован, то ключи при их создании будут с именами pubring/secring.
(или я не прав?)
на выходе команды здесь все равно будут файлы pubring.gpg и secring.gpg
но при этом со специфичной, добавленной из gk.vlt информацией.
комментариев: 11558 документов: 1036 редакций: 4118
До очередного обновления червя Ваш метод может работать, но ничто не мешает червю создавать связки ключей в той директории, где захочется, и под какими угодно именами, так что в конечном счёте это тупиковый путь.
комментариев: 27 документов: 3 редакций: 6
SATtva, поясните пожалуйста,
может gpg.exe (а злоумышленники сейчас используют легальные модули из GnuPG) создать ключевую пару изначально с другими именами, отличными от pubring/secring?
(понятно, что червь в дальнейшем может их переименовать как угодно)
то что ключи могут быть положены в другой каталог, отличный от %temp% – это понятно.
комментариев: 11558 документов: 1036 редакций: 4118
Да, см. --no-default-keyring, --keyring, --secret-keyring.
Одного этого вполне достаточно в качестве контрмеры со стороны червя.
комментариев: 27 документов: 3 редакций: 6
ок, спасибо, посмотрю.
комментариев: 27 документов: 3 редакций: 6
есть ли возможность обработать код операции при расшифровки файлов (после VAULT) в командном режиме?
например.
для расшифровки группы файлов на дисках создал небольшой командный файл, в котором используем
следующую конструкцию команд
необходимо учесть момент, если будет ошибка по какой то причине с расшифровкой файла с расширением gpg (после его переименования из vault)
с тем чтобы предотвратить последующую команду удаления файла *.gpg в случае его неуспешной расшифровки по той или иной причине.
чтобы команда удаления del *.gpg выполнялась только после проверки успешности расшифровки данного файла.
есть ли коды, которые gpg.exe возвращает после удачной (или неудачной) расшифровки текущего файла *.gpg?
комментариев: 511 документов: 2 редакций: 70
man gpg:
Да и в сети обсуждений на тему вашего вопроса хватает [1], [2], [3].
комментариев: 27 документов: 3 редакций: 6
pgprubot,
спасибо за ответ.
поясните пожалуйста, как я могу (программно) получить это значение для последующей его проверки в теле программы, и создания блока проверки этого значения на результат 0?
на примере командной строки.
комментариев: 511 документов: 2 редакций: 70
В борн-совместимом шелле как-то так:
комментариев: 27 документов: 3 редакций: 6
примеры есть, конечно,
One way of using the status-fd in linux is as follows:
попробую применить это в bat скрипте