McMaKaPoH Posted March 19 (edited) Добрый день. За последнее время у нас было два случая, когда пользователи ловили шифровальщика. На почту приходит запароленный архив, в тексте письма прикладывается пароль. Пользователь открывает файл и в итоге профиль шифруется, антивирус этого не видит. На вирустотал большинство антивирусов также не распознали в этих файлах шифровальщика. В связи с этим возникло желание попросту блокировать запуск скриптов, в данном случае .js. Имеется ksc версии 11.0.0.1131 и kes 11.1.0.15919. В категории программ добавил новую категорию, в которой указан путь *.js. В политике в разделе контроля программ сделал режим черного списка и добавил эту категорию. В ней выставил всем запрет. По итогу файлы .js открываются. Более того, если на локальном антивирусе явно прописать полный путь до .js файла, то этот файл все равно не блокируется. В 10-ой версии KES так точно работало. Подскажите, как правильно эту тему настроить. Прикладываю скриншоты настроек и что по итогу выходит. Спойлер Edited March 19 by McMaKaPoH Share this post Link to post
aigir Posted March 19 в правилах необходимо прописывать так, чтобы задавался полный путь в вашем случае нужно задать критерий "путь к папке" и указать *\*.js поскольку при работе с почтой файл сначала сохраняется во временную папку пользователя, и уже оттуда запускается, лучше указать: C:\Users\*\AppData\Local\Temp\* в этом случае блокироваться будут не только скрипты, но и любые другие исполняемые файлы из писем если только папки TEMP не были переназначены в другое место Share this post Link to post
McMaKaPoH Posted March 19 Спасибо, получилось. Не работало то ли из-за отсутствия лицензии на полигоне, то ли из-за того, что надо было категорию пересоздать, т.к. ksc обновил. Share this post Link to post