(02.09.2015, 20:20)gravity1287 napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj]
F4z, a możesz sprawdzić czy SS zapyta, jeśli zamiast Auto. zezwól-Wysoki poziom ochrony ustawi się Pytaj użytkownika? Czy na pewno zapyta?
To jest dobre pytanie, bo to zależy od pewnych ustawień. Załóżmy, że zainstalowaliśmy SpySheltera i przez jakiś czas jest ustawiony w trybie "Auto. zezwól-Wysoki poziom ochrony", potem uruchomiliśmy sobie przeglądarkę czy eksplorator plików. Jak już to zrobiliśmy, dodaje się nam automatycznie reguła explorera w kontroli startu aplikacji:
[Aby zobaczyć linki, zarejestruj się tutaj]
W takim przypadku nawet jak przełączymy na tryb "Pytaj użytkownika" i uruchomimy tego ransoma to i tak nic nie da, pliki zostaną zaszyfrowane.
Ale gdyby usunąć tę regułę, to wtedy dostaniemy odpowiedni komunikat przy uruchamianiu tej szkodliwej aplikacji:
[Aby zobaczyć linki, zarejestruj się tutaj]
Tylko to ma jedną ogromną wadę, tych komunikatów będzie mnóstwo i będą dotyczyć w zasadzie każdego uruchamianego pliku, więc takie rozwiązanie nie jest dobrym pomysłem. Teoretycznie można by najpierw uruchomić znane i zaufane aplikacje w trybie "Auto. zezwól-Wysoki poziom ochrony", a potem dopiero usunąć regułę explorera z kontroli startu aplikacji, wtedy część reguł byłaby wcześniej utworzona automatycznie, dostawalibyśmy jedynie komunikaty tego typu:
[Aby zobaczyć linki, zarejestruj się tutaj]
czyli tylko przy uruchamianiu aplikacji, na pewno byłoby to pracochłonne i niewygodne, ale możliwe.
A tak przy okazji, kombinacja ustawień "Blokuj automatycznie podejrzane aplikacje" z "Pytaj użytkownika" w momencie, gdy usunie się regułę explorera z kontroli startu aplikacji nie ma całkowicie sensu, bo każda aplikacja będzie z automatu blokowana (łącznie z systemowymi takimi jak notatnik czy paint) .
(02.09.2015, 20:20)gravity1287 napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj]
PS. Może głupie pytanie, ale nie wiem dokładnie jak to działa. Czy jeśli Zdefiniowania przez użytkownika lista plików chronionych w ustawieniu Personal tak pomaga, to czy nie zaszkodzi systemowi dodać np. cały dysk z systemem, jeśli jesteśmy pewni że system jest czysty? Czy może SS z automatu doda do listy chronionych nowo ściągnięte pliki, bo potraktuje dysk systemowy jako bezpieczny? Albo ograniczyć bezpieczne foldery do folderu Windows i Program Files, a nie cały dysk?
To raczej nie jest dobry pomysł, bo np. w przypadku uruchomienia tego ransoma z testu dostanę taki komunikat:
[Aby zobaczyć linki, zarejestruj się tutaj]
i szczerze mówiąc niewiele mi on daje, bo z tego co widzę to uruchomiony program chce zmodyfikować dane z tej lokalizacji "C:\Users\Adam\AppData\Local\VirtualStore". Nie trzymam tam żadnych ważnych danych, więc czemu mam nie zezwolić? A jak już zezwolę, to pliki zostaną zaszyfrowane.
Tych komunikatów będzie więcej, bo dostanę je od przeglądarki:
[Aby zobaczyć linki, zarejestruj się tutaj]
WinRARa:
[Aby zobaczyć linki, zarejestruj się tutaj]
rundll32.exe:
[Aby zobaczyć linki, zarejestruj się tutaj]
jak widać od każdego programu, który będzie dokonywał jakichś operacji na pliku, no za dużo tego, jest to po prostu upierdliwe i w wielu przypadkach się nie sprawdzi.
Jedynym dobrym rozwiązaniem jest dodanie tylko ważnych folderów/plików do "strefy" chronionej.
(02.09.2015, 22:47)Kot_Pocztowy napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj]
Kolejny już film o ransomware, ktory niczego na niekorzyść Spysheltera nie pokazuje, tym bardziej "szokującego".
Bo i niczego szokującego tutaj nie miało być, ot tyle, chciałem pokazać, że przy ustawieniach opisanych przez wortaxa nie jest tak idealnie jak myślał.
Proszę mnie poprawić jeśli gdziekolwiek coś źle napisałem Kocie_Pocztowy.