Sergey
файлик чтоли создаешь?
Dmitry
папки :)
oxotnik
а кто уже создал ts на антибедрэббит поделитесь как правильно плиз
Sergey
лучше дайте кто нить сам вирус, если есть
Andrey
Набросал скрипт для создания файликов
Andrey
new-item -Path $env:systemroot -Name "infpub.dat" -ItemType File
new-item -Path $env:systemroot -Name "cscc.dat" -ItemType File
icacls "$env:systemroot\infpub.dat" /inheritance:r
icacls "$env:systemroot\cscc.dat" /inheritance:r
Kirill
хитро ;)
Kirill
спс
oxotnik
а расскажите дурачку как пош скрипт запихнуть в ts?
Dmitry
там прям пункт есть :)
Sergey
да лучше gpp/gpo для этого поюзать
Mikhail
new-item -Path $env:systemroot -Name "infpub.dat" -ItemType File
new-item -Path $env:systemroot -Name "cscc.dat" -ItemType File
icacls "$env:systemroot\infpub.dat" /inheritance:r
icacls "$env:systemroot\cscc.dat" /inheritance:r
а где раздача прав? отключение наследования только вижу
Andrey
А зачем ему права? Будет безаправным
oxotnik
да лучше gpp/gpo для этого поюзать
спасибо, а запустится ли на машинах, где поша нет нового?
Sergey
спасибо, а запустится ли на машинах, где поша нет нового?
я вот как раз про GPO говорил что там своими,родными средствами создание файла сделать можно и раздачу на него прав
ццм не нужен, короче
Mikhail
а где раздача прав? отключение наследования только вижу
/inheritance:e|d|r
r - удаление всех унаследованных ACE
Dmitry
блин
Dmitry
из-за неудачного названия приходится отписываться уже на руководство, что не вирус
Dmitry
что за жесть
oxotnik
я вот как раз про GPO говорил что там своими,родными средствами создание файла сделать можно и раздачу на него прав
ццм не нужен, короче
хм, а разве это не дольше по времени? я в том смысле что для применения gpo ребут же нужен, ну или хотябы релогон
Sergey
нет
oxotnik
хм, ну ок
Sergey
ну может и чуть дольше (раз в 90 мин.)
Kirill
15 минут дефолтовый интервал
Sergey
зато надёжнее
Dmitry
Dmitry
когда есть директория с таким именем
Dmitry
файл не создать
Dmitry
даже пошем
Dmitry
всемогучем пошем
Sergey
пош тут непричм
Dmitry
Dmitry
надо заменить disable на ANTI
Dmitry
ваще огонь будет 😆
Sergey
зачем вообще этот таск делать видимым
Kirill
"утилита для блокировки вируса BadRabbit" просто и понятно
Kirill
и никто ничего не спросит
Sergey
Dmitry
конечно 😆
Sergey
тогда - да
название - самое то
Dmitry
уже скрыл
Dmitry
Директория созданая через TS не имеет никаких прав
Dmitry
прикольно :)
Kirill
даже system?
Sergey
да пофиг из под кого создавать
Sergey
главнео права отобрать
Vertexx
Скажите, почему нельзя сделать app? Зачем разворачивать через ts?
Sergey
пофиг в чем создавать
Sergey
Вариант через GPO
Vertexx
Да я не конкретно про это, а вообще.
Anton
потому что им через апп лень делать детекшен )
Maxim S.
а это вирусня какая то новая чтоли?
Anton
да
Maxim S.
т.е. лучше сделать у себя в компании на всякий случай?
Anton
ну дело твоё )
Sergey
v2. Создавать только если файл не существует
Vito$
а %WindowsDir% не надо на %systemroot% менять?
Nikita
если вруг не видели
https://blog.it-kb.ru/2017/10/24/windows-10-fall-creators-update-1709-may-break-cryptopro-csp-version-3-9-and-4-on-computers-in-active-directory-domain/
Sergey
конкретно в этом месте можно
%windir%
%systemroot%
а можно и GPP-шные переменные, тот же %WindowsDir%
F4 нажми в этом поле
Quantum Yupiter
Anton
запуск через пакет
powershell.exe -ExecutionPolicy Bypass -NoLogo -NonInteractive -NoProfile -WindowStyle Hidden -File .\fuckTheRabbit.ps1
mikas
В Крипто Про криворукие девелоперы...
+100500 у меня 1511 не обновляются хоть до какого билда без удаления КриптоПро
Anton
ну все, чат в безопасности )
Anton
лтсб релизы все актуальней и актуальней
Anton
вот выходит новый фол криэрторс апдейт, а у тебя семеро по лавкам, протестить, чтоб мдт работал, везде адк нормальный стоял, винпе образы обновить, с кучей версий дров разобраться, там 1ски, тут криптопро, там еще какая-нибудь залупа, и так теперь дважды в год ) и каждый месяц вот вам пак, а внутри уже все апдейты, ахахах, чтоб было веселей ))))
Anton
а, ну да, в интюне таких проблем нет ))
Anton
я понял, это блеать, заговор
Maxim S.
это чтоб нам скучно не было!
Quantum Yupiter
вот выходит новый фол криэрторс апдейт, а у тебя семеро по лавкам, протестить, чтоб мдт работал, везде адк нормальный стоял, винпе образы обновить, с кучей версий дров разобраться, там 1ски, тут криптопро, там еще какая-нибудь залупа, и так теперь дважды в год ) и каждый месяц вот вам пак, а внутри уже все апдейты, ахахах, чтоб было веселей ))))
Для этого есть инсайдер билды и полгода на тесты )