Takie odwieczne pytanie czy zabierać wszystkim wszystko czy tylko jednak celować w określone typy przesyłek. Otóż kolejny przypadek zaszyfrowania plików komputera. Mail zawiera zip w ktorym jest plik vbs. Analiza pobieżna źródła pokazuje pewien standard: odpalony vbs ściąga plik z zewnątrz , dodaje mu exe i wykonuje. sprytne i groźne. Obchodzi proxy uniemożliwiające ściąganie plików exe (ściąga sie ‚goły’ plik).
Charakterystyczne w pliku jest to, że
- w temacie zawiera login maila
- załącznik jest postaci <login>_<cyfry>.zip
I można tworzyć regułę i kombinować ale…po co:) Ludzie chyba niezbyt często wymieniają się skryptami Excela,Worda więc wg mnie lepiej zablokować.