Je hebt een klacht over de onderstaande posting:
een cryptolocker die bestanden encrypteert in userspace heeft geen admin rechten nodig. Die heeft genoeg aan schrijfrechten op je files en op je netwerk drives. Wij hebben nu in mcafee EPO ingeschakeld dat er geen executables vanuit temp dirs uitgevoerd kunnen worden. Erg robuust is dit niet: de enige detectie bestaat uit het checken of de string "temp" voorkomt in het pad. Dus als je een software installer in c:\mijnmap\tempstuff wilt uitvoeren, dan wordt dit ook geblokkeerd. Maar het is een eerste bescherming tegen het uitvoeren van executables die in gezipte folders zitten. Whitelisten van applicaties is natuurlijk veel beter, maar het hangt af van je omgeving of dit haalbaar is. Ik werk op een universiteit waar we niet zomaar alle onderzoekers in hun werk kunnen hinderen door hun pc volledig dicht te timmeren.
Beschrijf je klacht (Optioneel):