Для этого нужно иметь под рукой файлы вируса (большой самораспаковывающийся архив EIMG001.exe и файлы самого майнера, которые можно достать из него: NsCpuCNMiner32.exe и NsCpuCNMiner64.exe). Политика запрета будет выглядеть примерно так (кликабельно):
Указаны два варианта: через Software Restriction Policies, или Application Control Policies - оба в целом равноценны. В обоих случаях файлы можно добавлять по имени или по хэшу, предпочтителен второй вариант на случай попыток вируса переименовать исполняемые файлы.
Так а далее что делать?
ОтветитьУдалитьНу не запускается он на ПК, но создается на ПК на которых открыты шары... Кто-то же его создает :)
Дальше последовательно и планомерно ставить апдейты от wannacry на все-все-все компы. Судя по тому что я вижу - майнер расползается схожим образом.
УдалитьАпдейты:
- KB4012598 для win2003 и 2008;
- kb4012212 или куммулятив kb4012215 - 2008r2.
Для клиентов старше семерки вроде бы для всех KB4012598, если вдруг XP то фиг знает налезет ли на нее апдейт от 2003го, но скорее всего нет.
От WannaCry
ОтветитьУдалитьhttps://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
Updates
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
О, спасибо за линк - я сам скачал и уже потерял откуда ))
УдалитьВообще лучше эти патчи через wsus ставить - централизация и всё такое - и в этом случае можно конкретные патчи проимпортировать с сайта мс. Как раз из каталога. Потому что XP например уже снята с поддержки и всус апдейты для нее уже автоматом не накачивает. Но проимпортировать дает )