VAULT. что делать?
В связи с широким распространением шифратора VAULT (ранее это были keybtc/paycrypt), который использует для несанкционированного шифрования документов пользователя gpg.exe из состава GnuPG (c последующим предложением о выкупе ключа secring.gpg) есть ли возможность превентивно завершить процесс шифрования? после того пользователь открыл "документ" из электронной почты,а установленные антивирусы сигнатурно и проактивно не заметили ничего подозрительного в запускаемом js скрипте, который или скачивает из сети необходимые модули и файлы для шифрования, или содержит все необходимое в теле js в закодированном base64 виде.
комментариев: 511 документов: 2 редакций: 70
Cчитается, что винда там, где требуется защита информации, точно не нужна. Если вам она всё же нужна, вы что-то делаете не так.
комментариев: 27 документов: 3 редакций: 6
Вы видимо не знакомы с проблемой пользователей от шифратора ВАУЛТ как раз в win
http://chklst.ru/forum/discussion/1481/vault-chto-delat
т.е. мысль здесь простая.
если GnuPG портирован для windows, то в самой архитектуре команд должны быть заложены опции или параметры, которые позволяют гибко управлять процессом дешифровки. Возможно они есть, просто не знаю как их использовать через командный интерпретатор win/ (cmd.exe)
комментариев: 27 документов: 3 редакций: 6
возможно, я неверно сформулировал вопрос:
есть ли возможность (средствами GnuPG) записать результат (успешная расшифровка или нет) выполнения команды?
в файл например, чтобы затем можно было проанализировать результат
с тем, чтобы в зависимости от результата добавить порцию команд.
(уже средствами cmd.exe)
(или не добавить)
комментариев: 511 документов: 2 редакций: 70
ОК, перефразирую мысль. Если вы выбрали своей работой решение вирусопроблем под винду, то могу вам только посочувствовать.
Можно, но, как правило, не нужно. Посмотрите на вышеприведённую ссылку. Переменная $? содержит результат (код) выполнения команды. Смысла записывать его в файл не вижу, но можете записать. Условие if выполняется, если значение кода возврата нулевое. Если нужно несколько вариантов обработать, либо пишите через elif:
комментариев: 11558 документов: 1036 редакций: 4118
В unix shell статус-код последней операции хранится в специальной переменной $?. Если в винде нет её аналога, то используйте статус-интерфейс gpg, например, --status-file (смотрите документацию и файл DETAILS, где описана спецификация интерфейса). Такой подход предпочтительнее и в nix-системах, т.к. статус-код операции может быть ненулевым из-за каких-то несущественных проблем в среде, даже если сама операция была успешной, то есть такая проверка приводит к false positives (фактически gpg возвращает ненулевой статус-код, если stderr содержит какой-либо вывод).
комментариев: 27 документов: 3 редакций: 6
SATva, благодарю.
этот подход должен работать.
это при успешной расшифровке.
а в случае неуспешной расшифровки такой контент:
этот файл уже можно будет обработать, чтобы принять решение, была ли успешной расшифровка или нет.
если расшифровка была успешной, то можно удалять (зашифрованную копию документа) файл *.gpg с диска.
По каким то причинам, не всегда бывает успешной расшифровка отдельных файлов(даже при наличие правильного ключа) при массовой дешифровки (особенно когда зашифрованы тысячи файлов), и поэтому не стоит их удалять после завершения операции,чтобы не потерять нужные документы.
комментариев: 27 документов: 3 редакций: 6
pgprubot, благодарю.
Теперь ваша мысль стала более объемной. Посмотрю доки, возможно есть переменные, которые формирует gpg.exe в среде Win.
тогда решение по расшифровке может быть более изящным.
А вообще, под Win есть хорошие инструменты для решения вирусопроблем. Universal Virus Sniffer, например. позволяет при определенной работе с ним автоматически создавать скрипты для очистки от зараженных систем.
Но шифраторы здесь, особый случай. Можно найти и удалить файл шифратора, а восстановить документы становится все труднее и труднее. (если нет копий.)
комментариев: 511 документов: 2 редакций: 70
комментариев: 27 документов: 3 редакций: 6
тут все средства хороши:
и проактивная защита+локальные политики безопасности по ограничению запуска исполняемых файлов
и работа под ограниченной учетной записью, там где надо
и анализаторы процессов и автозапуска + хорошие антивирусные сканеры
и защита документов+ бэкапы.
комментариев: 7 документов: 1 редакций: 0
Винда на самом деле, ничуть не дырявее линуксов. Я не припомню когда последний раз эскплуатировалась remote code execution уязвимость в винде. Тем, кто считает, что открытые исходники что-то гарантируют – напомню про Heartbleed и Shellshock.
Для соц. инжинерии вообще без разницы, что за ОС стоит у пользователя. При запуске в линуксе у вредоноса будет достаточно прав, чтобы зашифровать пользовательские документы.
Если на машине есть ценные файлы, то регулярные бекапы обязательны. Помогут не только от вирусов, но и от выхода из строя диска и прочих форс-мажоров.
комментариев: 11558 документов: 1036 редакций: 4118
Тем, кто считает, что открытые исходники ничего не дают, напомню, что Heartbleed и ShellShock в итоге всё же обнаружили, тогда как закрытые компоненты винды в этом плане — тёмный лес.
комментариев: 511 документов: 2 редакций: 70
MS не закрывала критические баги годами несмотря на баг-репорты, пока в паблике не начали ходить эксплоиты. Потом, коммерческая фирма, да ещё с закрытыми исходниками, легко принуждается АНБ и т.п. агенствами к сотрудничеству. Писалось про мнение АНБ: баг не должен быть немедленно закрыт — комапниии должны в первую очередь стучать в АНБ и т.п. конторы, чтобы дать им воспользоваться уязвимостями в их целях. Сотрудничество MS и др. коммерческих компаний с АНБ полностью подтверждается документами Сноудена, а про дыры в оупенсорсе там нет ничего (кроме попыток вовремя писать эксплоиты на найденные дыры в firefox, да иногда быстрее находить в нём дыры). Аргументов тысячи, всем они известны и много раз обсуждались, перечислять лень, проще такие вбросы удалять как толстый троллинг.
А локальное повышение привелегий до админских — это так себе, а не дыра, ага.
комментариев: 27 документов: 3 редакций: 6
из закодированного js извлекается exe, который и выполняет тихо всю работу по шифрованию документов. и самоудаляется. не оставляя следов в темпе.
алгоритм шифрвания видимо другой, не openPGP, поскольку при расшифровке файлов с расширением vault gpg.exe не распознает пакет openPGP
в остальном все то же.
оставлен ключ VAULT.key с зашифрованным контентом, который не является пакетом gnuPG,
добавлена в автозапуск заставка hta, с адресом кабинета злоумышленников в tor-сети, с рекомендациями как быстрее получить свои файлы за денежки (биткойны).
комментариев: 7 документов: 1 редакций: 0
Отдельного open-source разработчика еще проще принудить к сотрудничеству.
Одни попытаются предупредить об этом общественность, как автор TrueCrypt ;) Но сколько тех, кто не предупредит? Думается, что на порядок больше.
Как раз таки есть, упоминалась спец программа (не в смысле софт, а в смысле комплекс мероприятий) по внедрению бэкдоров в opensource софт и еще одна программа по внедрению ослаблений в паблик крипто софт.
Кроме того, повторюсь, что для соц инжиниринговых методов, все это не важно. Пользователь сам запустит и даст все права вредоносному приложению.
Именно так происходит большинство APT-атак.
комментариев: 1060 документов: 16 редакций: 32
Осталось понять, как обстоят дела с отдельными closed-source разработчиками, сотрудниками коммерческих фирм. 6)
Караул. Мы все умрём.