FixRun (FixSecurity) - защита от шифровальщиков 2.5.0

Утилита для защиты от случайного запуска исполняемых файлов

  1. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.475
    Симпатии:
    866
    Пользователь Vitokhv разместил новый ресурс:

    FixRun (FixSecurity) - защита от шифровальщиков - Утилита для защиты от случайного запуска исполняемых файлов

    Узнать больше об этом ресурсе...
     
    Последнее редактирование модератором: 8 сен 2016
    DllPok, Guest и SNS-amigo нравится это.
  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    mike 1, чем эта программа лучше AppLocker?
    из минусов вижу следующее:
    1. требуется установка
    2. защищена ли сама программа от того что ее процесс просто выгрузят через ДЗ?
    3. допустим поставили программу в корпоративной среде (или в любой другой), заблокировали запуск всех файлов, как запустить например почтового клиента? Или браузер? Даже текстовый файл открыть не получится.

    Плюсов я пока не вижу.
    Что подразумевается по ограниченной поддержкой exe файлов? Если их всех запретить боюсь винда не стартанет.
     
  3. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.475
    Симпатии:
    866
    Программа не висит в процессах. :)

    Двойным кликом по файлу. Если запускать через правую кнопку мыши, то вместо "Открыть" будет "Сохранить". Под этим понимается ограниченная поддержка exe файлов.

    На этот вопрос думаю Vitokhv ответит.
     
    Последнее редактирование: 28 май 2016
  4. Vitokhv
    Оффлайн

    Vitokhv Разработчик

    Сообщения:
    57
    Симпатии:
    71
    Chinaski, как раз собирался написать MiniFAQ по просьбе mike 1

    Постараюсь объяснить в несколько этапов:
    - это не программа, процессов нет и выгружать нечего, правильно называть фиксом
    - установка требуется для того, чтобы после удаления все вернулось в исходное состояние
    - блокируются только скриптовые/исполняемые файлы и только внутри архивов, через SRP
    - что находится в открытом виде (например *.JS *.SCR *.WSF) отправляется в архив карантина
    - желательно использовать только WinRar для защиты файлов *.EXE от распаковки из архива
    - перезагрузка в основном не требуется, но желательна, так как правила SRP должны обновиться
    - если организация использует домен, тогда Администратор решает включать защиту архивов или нет

    Основные задачи фикса
    Первая задача фикса защитить только от первого запуска, где любопытство или отключенные расширения файлов мешают увидеть угрозу.
    Вторая задача, отправить файлы угроз для анализа, и в антивирусные лаборатории.
    Третья задача, поддержка пользователей онлайн, если возникнут вопросы "безопасно ли вложение, или ссылка".
     
    DllPok, Dragokas и SNS-amigo нравится это.
  5. andrew75
    Оффлайн

    andrew75 Новый пользователь

    Сообщения:
    24
    Симпатии:
    4
    А можно узнать, какие именно политики меняет программа?
    Чтобы знать, куда копать, если что-то не так будет работать.

    Простому пользователю это необязательно, а вот админам это думаю необходимо.
     
    Последнее редактирование: 28 май 2016
  6. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    вот это поясните, из видео можно сделать вывод, что не запускаются любые батники, а не только из архивов.
     
  7. Vitokhv
    Оффлайн

    Vitokhv Разработчик

    Сообщения:
    57
    Симпатии:
    71
    andrew75,

    [​IMG]
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers]
    "authenticodeenabled"=dword:00000000
    "DefaultLevel"=dword:00040000
    "ExecutableTypes"=hex(7):все расширения по умолчанию + WSF и WSH
    "PolicyScope"=dword:00000000
    "TransparentEnabled"=dword:00000001

    +

    GUID правила

    Важно понимать, что происходит наложение правил SRP, и настроен режим черного списка, т.е. все остальное, что не в списке разрешено: "DefaultLevel"=dword:00040000 (белый список использует: dword:00000000)


    Chinaski,

    - блокируются только скриптовые/исполняемые файлы и только внутри архивов, через SRP
    - что находится в открытом виде (например *.JS *.SCR *.WSF) отправляется в архив карантина

    Батник без архива отправляется в карантин, батник внутри архива параллельно защищается политиками SRP (если убрать из списка SRP расширение *.BAT, файл внутри архива все равно будет отправлен в карантин)
    Для тех кому нужны рабочие батники, могут использовать командную строку, с указанием используемого приложения и полного пути до cmd.exe
    Если такой вариант Админа не устраивает, галку с нужных расширений можно убрать.
    Только нужно понимать, что фикс защищает простых пользователей от ошибок, того, чего не понимают.
     
    mike 1, SNS-amigo и Kиpилл нравится это.
  8. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.475
    Симпатии:
    866
    Надо бы наверное в ресурсы форума загрузить и FAQ добавить в первое сообщение.
     
  9. andrew75
    Оффлайн

    andrew75 Новый пользователь

    Сообщения:
    24
    Симпатии:
    4
    А почему собственно вы без предупреждения отправляете карантин на внешний ресурс?
    Причем достаточно странным способом.
    Я не уверен, насколько этот способ будет нормально работать в разных случаях.
    Как минимум надо спрашивать при установке, включать ли эту функцию.

    Да, по первому впечатлению оно работает так как заявлено.
    Но нужно описание.
    И потенциально возможны проблемы с запуском различных типов файлов.
     
    SNS-amigo нравится это.
  10. Vitokhv
    Оффлайн

    Vitokhv Разработчик

    Сообщения:
    57
    Симпатии:
    71
    andrew75,
    Об этом упоминается в лицензионном соглашении:
    Это касается только папки карантина: %ProgramFiles%\FixSecurity\Quarantine

    Для тех, кто не хочет отправлять файл карантина (возможно содержащий вредоносный код), могут отключить в планировщике задачу: IN Updater
    Добавлять опцию отключения нельзя, так как это основная причина создания фикса, поддержки онлайн чата и аналитиков антивирусных компаний.
    Если планировщик не станет отправлять файлы карантина потеряется смысл в анализе новых угроз.

    Для нормального способа отправки нужны программисты, а пока отправляется через WebDav на ЯндексДиск
    По поводу описания, создам видео обзор, после вопросов, которые еще не задавали.
     
    SNS-amigo нравится это.
  11. andrew75
    Оффлайн

    andrew75 Новый пользователь

    Сообщения:
    24
    Симпатии:
    4
    Я правильно понимаю, что опция "Защита WinRar" включает встроенную в WinRar защиту от запуска/распаковки определенных типов файлов?

    Нужен не видеообзор, а описание того, что делает программа.
    В частности того, на что влияют установки защиты архивов.
    И про запись/отправку карантина.
    Вы пишете программу для простых пользователей, которые не понимают что такое SRP и на что это может повлиять. Поэтому надо им доступно обьяснить, чем им это поможет и как это будет работать.
    Потому что те кто понимает, могут при желании эти изменения сделать руками.
    --- Объединённое сообщение, 30 май 2016 ---
    У многих паранойя по поводу отправки телеметрии в Microsoft или разработчикам браузеров, а вы вводите подобную функцию, не давая возможности отключить ее штатным образом.
    Да вас живьем съедят поборники приватности :Acute:

    И я бы добавил фикс, отключающий настройку "Скрывать расширение для зарегистрированных типов файлов.
     
    Последнее редактирование: 30 май 2016
    SNS-amigo нравится это.
  12. andrew75
    Оффлайн

    andrew75 Новый пользователь

    Сообщения:
    24
    Симпатии:
    4
    А в чем смысл?

    И еще вопрос - те расширения, которые можно выбрать при установке обрабатываются каким-то особым образом? Почему именно их вы туда выносите?
     
  13. Vitokhv
    Оффлайн

    Vitokhv Разработчик

    Сообщения:
    57
    Симпатии:
    71
    andrew75,
    Каждое выбранное расширение имеет фикс отключать скрытие расширений (он же "Скрывать расширение для зарегистрированных типов файлов").
    Если раньше расширение .exe или .js не было видно, то выбрав необходимые расширения, пользователь увидит эти типы файлов.

    Когда мы устанавливаем фикс, а точнее вносим изменения в реестр, выбираем расширения по которым будет работать только отправка в карантин (с защитой архивов по SRP и с защитой WinRar это не связанно).
    Так же, скрывается пункт в контекстном меню "Открыть" и добавляется пункт "Сохранить" - это и есть двойное нажатие, т.е. открытие файла.
    Вместо того, чтобы говорить сотрудникам не открывать странные вложения файлов, нужно убрать эту возможность.
    При попытки открыть файл *.JS он копируется в карантин: %ProgramFiles%\FixSecurity\Quarantine\infected. (именно этот файл отправляется на ЯндексДиск)
    К расширению файла *.EXE добавлен только пункт "Сохранить" и отключено скрытие этого расширения как тип файла (само расширение не защищено, защищают только две нижние опции).
    Показываю скриншот о чем речь (то, что выделено галками):
    [​IMG]

    Опция "Защита WinRar" использует встроенную защиту архиватора:
    [​IMG]

    Опция "Защита архивов" защищает по политике SRP
    Защита архивов необходима как параллельная защита в первую очередь от *.EXE
    Если у пользователя система с админскими правами, без домена, то включить ее необходимо.
    Для корпоративных пользователей Администратор сам решит включать или нет, так как происходит наложение настроек и правил.
    Если в домене была включена политика SRP с белым списком, то изменится на черный список (думаю админу это не нужно).
     
    Последнее редактирование: 30 май 2016
    SNS-amigo нравится это.
  14. andrew75
    Оффлайн

    andrew75 Новый пользователь

    Сообщения:
    24
    Симпатии:
    4
    Я правильно понимаю, что будут показываться расширения только у тех типов файлов, которые выбраны при установке?
    Почему не включить показ всех расширений?
    --- Объединённое сообщение, 30 май 2016 ---
    Сейчас проверил на XP Prof
    .exe файл из zip архива запустился. .cmd в архиве заблокировался и записался в карантин.
    У .exe файла в контекстном меню проводника остался пункт "Открыть"
    У .cmd - "Открыть" пропало и запуск блокируется.
    Остальные расширения не проверял.
    Блокировка в настройках WinRar прописалась. (При проверке запуска файлов из архивов я ее отключал).
    Задача в планировщике не создалась.
     
  15. Vitokhv
    Оффлайн

    Vitokhv Разработчик

    Сообщения:
    57
    Симпатии:
    71
    andrew75,
    Какой сервис пак у Windows XP Professional?

    Задача для Windows XP не создается, так как система не может работать с WebDav (проверяется версия Windows, если XP то пропускается установка задачи и файлов)
    Настройки для WinRar не прописываются в двух случаях: первый - если опция "Защита WinRar" отключена, второй - если в реестре нет значения HKCU\SOFTWARE\WinRAR

    Файл *.EXE не может быть отправлен в карантин, и не защищен, защищается только через опции "Защита WinRar" и "Защита архивов".
    Так же он может быть защищен через правила поведения приложений, в некоторых антивирусных продуктах.

    По поводу расширений, будут исправлены отключения опций.
    По SRP правилам, пересмотрю метод наложения правил и настроек.
    Добавлю опцию отображения всех типов файлов.
     
    SNS-amigo нравится это.
  16. andrew75
    Оффлайн

    andrew75 Новый пользователь

    Сообщения:
    24
    Симпатии:
    4
    3-й разумеется.

    Понятно.

    Да нет, с WinRar-ом как раз все нормально.

    Ну так правильно, "Защита архивов" и должна была работать с .exe файлами, но не работала.
    Хотя прекрасно работала с .cmd

    Я сейчас проверил на 7-ке (домашняя расширенная) - защита архивов для .exe файлов там тоже не работает.
    Хотя те правила групповой политики, которые вы мне привели на скриншоте в 1-м спойлере прекрасно блокируют запуск .exe файлов из архивов - я это сам проверял.
    Надо с этим разбираться.
    --- Объединённое сообщение, 30 май 2016 ---
    И еще, применительно к Win7 HP - при попытке запуска .cmd из архива не выдается сообщение о том, что это действие запрещено групповой политикой (как это видно на видео у mike1 и как это должно быть при срабатывании правила SRP).

    В связи с этим вопрос к mike 1 - у вас на виртуалке Windows 7 professional как минимум, правильно я понимаю?
     
    Последнее редактирование: 30 май 2016
  17. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.475
    Симпатии:
    866
    Я тестировал на 64 разрядной системе.

    [​IMG]
     
  18. andrew75
    Оффлайн

    andrew75 Новый пользователь

    Сообщения:
    24
    Симпатии:
    4
    То что 64-х разрядная, думаю не важно.
    У меня тоже 64-х разрядная кстати.
    Тогда я не понимаю, почему у меня не так работает.

    А вот на виртуалке у меня на 32-х разрядной Windows 7 professional .exe файл из архива не запустился.
    Зато .cmd из архива открылся в блокноте.
    Чего-то я не понимаю.
     
    Последнее редактирование: 30 май 2016
  19. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.475
    Симпатии:
    866
    andrew75, у меня блокируются в архивах exe и cmd файлы.
     
  20. andrew75
    Оффлайн

    andrew75 Новый пользователь

    Сообщения:
    24
    Симпатии:
    4
    Надо на чистой машине проверять. Завтра попробую.
     

Поделиться этой страницей