Пассивный антивирус

В последнее время участились атаки на организации и частные лица с помощью "писем счастья" из якобы госструктур (налоговой, департамента природопользователей и даже судебных исполнителей)

Несколько раз сотрудники организации в которой я работаю, ловили данные бяки, что приводило к шифрованию не только локальных машин но и общих документов на сетевых дисках. А самое обидно антизверь призванные защищать от этих бяк в упор не замечал и половины атак.

 

Благо я знаю про такое колдунство как теневое копирование и бэкапы.

Но в любом случае 200-300 гигов документации нужно было восстанавливать а это в среднем несколько часов.

 

В итоге мне все это надоело и я изучив те письма выявил закономерность...

В большинстве случаев это были файлы формата Блаблабла_типа_оченьважный_документ_счет_договор.js или *.vbs и даже как то раз пришел файлик *.lnk(самый прикольный ибо маскировался очень хорошо, и на рабочем столе от вордовского документы почти не отличить).

 

вот список типов файлов что я собрал.

.js
.CMD
.vbs
.com
.hta
.bas
.pif
.GADGET
.VBE
.VB
.jse
.SCR
.wsf
.wsc
.wsh

Я прикинул как бы мне навсегда избавиться от головняка с данными файлами и письмами, ибо пользователь по умолчанию считается неразумным и любые инструкции даже в картинках им(пользователем) в 99% случаев игнорируется, ведь это же письмо со счетом или даже с договором о поставках, надо срочно открыть, даже не смотря на вопли антизверя(если он конечно дэтэктил эту бяку).

 

На свет родилось решение, что нужно законодательно запретить таким файлам выполнять свою функцию, а именно запускаться как скрипт.

 

И на свет появился он Пасивный антизверь(не путать с другими пасивными сущностями ибо это несет спасение)

 

ВСЕ хватит гулять вокруг да около.

 

 

Открываем великий и ужасный notepad(обычные люди его знают как блокнот)

во внутрь его пхаем вот такой вот текст

assoc .js=txtfile
assoc .CMD=txtfile
assoc .vbs=txtfile
assoc .com=txtfile
assoc .hta=txtfile
assoc .bas=txtfile
assoc .pif=txtfile
assoc .GADGET=txtfile
assoc .VBE=txtfile
assoc .VB=txtfile
assoc .jse=txtfile
assoc .SCR=txtfile
assoc .wsf=txtfile
assoc .wsc=txtfile
assoc .wsh=txtfile

Не забудьте проверить что пробелов в конце каждой строки нет(бывает при копировании с сайта появляются) иначе не сработает.

Затем нам нужно сохранить это как командный скрипт. Это не сложно...

Файл - Сохранить как

Далее в открывшемся окне выбираем тип файла "Все файлы"

а в имени файла задаем любое имя добавляем .cmd (например anticrypt.cmd)

Пассивный антивирус вирусы-шифровальщики, Компьютерный вирус, Защита, Пассивный антивирус, сисадмин, длиннопост

Теперь файл сохранен и выглядит примерно так как на картинке

Пассивный антивирус вирусы-шифровальщики, Компьютерный вирус, Защита, Пассивный антивирус, сисадмин, длиннопост

После того как скрипт отработал он станет выглядеть как обычный текстовый документ блокнота(а значит все получилось), добавлю ко всему прочему данный скрипт запускается единожды и больше не требует внимания пользователя.

Единственное что делает данный скрипт это меняет ассоциации перечисленных видов файлов со своей программы на запуск в блокноте.

Пассивный антивирус вирусы-шифровальщики, Компьютерный вирус, Защита, Пассивный антивирус, сисадмин, длиннопост