Комментарии 2
Правильно я понял, что для защиты можно задать явный запрет запуска через acl для:
mshta — обработчик .hta;
cscript, wscript — обработчики .vbs.
+ сделать белый список для исходящих в firewall, чтобы через powershell не скачались файлы
?
для home версии был бы норм вариант, т.к. там политиками не заблокируешь.
mshta — обработчик .hta;
cscript, wscript — обработчики .vbs.
+ сделать белый список для исходящих в firewall, чтобы через powershell не скачались файлы
?
для home версии был бы норм вариант, т.к. там политиками не заблокируешь.
Да, вы поняли верно – это может помочь. В качестве примера можно посмотреть эту запись: twitter.com/reecdeep/status/1184777885468508161 Но адреса С2 меняются, это общее решение. Также файлы .hta в данной волне атак не использовались для распространения полезной нагрузки, но можно и их добавить в список правил.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бесфайловый вымогатель FTCODE теперь крадет учетные записи