FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

akok

Команда форума
Администратор
Сообщения
16,517
Реакции
13,089
Баллы
2,203
Может уже будем постепенно внедрять утилиту от Vitokhv на форумах, где пользователи столкнулись с шифровальщиком?
Мне кажется или использовать утилиту после заражения уже бессмысленно, это механизм защиты, а не лечения. :)
 

mike 1

Активный пользователь
Сообщения
2,410
Реакции
936
Баллы
383
Мне кажется или использовать утилиту после заражения уже бессмысленно, это механизм защиты, а не лечения. :)
Не совсем так. Практика показывает, что пользователи не делают особых выводов после инцидента с шифровальщиком. Свежий пример: Шифровальшик - Уничтожение вирусов
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
48
Кто хочет потестировать, здесь версия 3.0 (еще даже не бета): Яндекс.Диск
Нужно много еще доделать. Для работы приложения должен быть установлен NET.Framework от версии 2.0
Файл настроек находится здесь: C:\Users\%UserName%\AppData\Local\FixSecurity
Проверяйте наличие файла 7za.exe по пути: C:\Program Files\7-Zip\7za.exe

Добавлено:
- 7ZipSfx.*
- RarSfx*
- FTM*
- Защита от *.gpg расширений по всей системе (по идеи SRP не должно дать скриптам работать с файлами ключей шифрования), эта опция на всякий случай
- Защита от autorun.inf по все системе
- Защита VBA пока на MS Office 2010 (не рекомендуется ее включать, так как макросы работать не будут, как и VBA скрипты), эта опция только для тестирования документов
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,051
Реакции
5,846
Баллы
648
Ничего нового.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
48
Вчера в одной организации пытались запустить письмо со скриптом:
Само письмо на первый взгляд особого внимания не представляло.
Но если присмотреться, можно обнаружить смешанные символы латиницы и кириллицы:



Видимо, первый этап, попытаться обойти антиспам фильтр.
Вторым этапом запуск почти пустого .JS скрипта, в содержании которого только "откуда скачать" и "куда сохранить" файл с расширением .EXE с помощью Powershell команды.
Этот способ не позволяет детектить файл как угрозу почти всем антивирусам:
Если скрипт скачивает основной файл, то без доступа к интернету или HTTP ресурсу содержащий вирус, скрипт не работает.
Видимо создатели идут на такие жертвы ради обхода детекта, многим у кого провайдер отключил интернет в момент открытия файла - повезло.
Расширение файлов после шифрования, всеми известный: .da_vinci_code

Из вышесказанного нужно дополнить защиту от Powershell команд внутри скриптов, если будет найден способ.
p.s. пока исходники рабочие, те кто может глубже разобрать работу трояна, пишите в ЛС (только для антивирусных аналитиков)
 

mike 1

Активный пользователь
Сообщения
2,410
Реакции
936
Баллы
383
Вчера в одной организации пытались запустить письмо со скриптом:

Само письмо на первый взгляд особого внимания не представляло.
Но если присмотреться, можно обнаружить смешанные символы латиницы и кириллицы:



Видимо, первый этап, попытаться обойти антиспам фильтр.
Вторым этапом запуск почти пустого .JS скрипта, в содержании которого только "откуда скачать" и "куда сохранить" файл с расширением .EXE с помощью Powershell команды.
Этот способ не позволяет детектить файл как угрозу почти всем антивирусам:
Если скрипт скачивает основной файл, то без доступа к интернету или HTTP ресурсу содержащий вирус, скрипт не работает.
Видимо создатели идут на такие жертвы ради обхода детекта, многим у кого провайдер отключил интернет в момент открытия файла - повезло.
Расширение файлов после шифрования, всеми известный: .da_vinci_code

Из вышесказанного нужно дополнить защиту от Powershell команд внутри скриптов, если будет найден способ.
p.s. пока исходники рабочие, те кто может глубже разобрать работу трояна, пишите в ЛС (только для антивирусных аналитиков)
Грузит это Antivirus scan for 693e1a6056b6efb4cff6e0d8b380d297646e79231e4df7a9aad8661b714758a8 at 2016-10-18 12:55:06 UTC - VirusTotal на выполнение
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
48
Немного информации:
Скрипт банально использует стандартное обращение к файлу: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (возможно и v2.0)
На системе где нет Powershell скрипт не работает (например на Windows XP), но все же может быть исключение:
При использовании Windows PowerShell 4.0 и Windows PowerShell 3.0 интегрированная среда сценариев Windows PowerShell по умолчанию включена во всех версиях Windows.
Если она еще не включена, Windows Management Framework 4.0 или Windows Management Framework 3.0 включает ее.
Если ограничить доступ через SRP скрипт не сможет выполнить команду на скачивание вируса:
Доступ к C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe был ограничен по расположению; администратор применил правило политики {2007ec39-75f3-4dfc-86fe-e837082f7aa0} к пути powershell.exe.
Осталось найти раздел реестра, где можно выставить параметры на отключение Powershell.

p.s. очень давно я пробовал включать Powershell через командную строку, уже не помню как и это позволяло перезапускать файервол:
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,051
Реакции
5,846
Баллы
648
Ставишь на файл DACL запрета на исполнение для всех.
Или прописываешь через реестр процессу локальный отладчик.
 

mike 1

Активный пользователь
Сообщения
2,410
Реакции
936
Баллы
383
Vitokhv, я тебе в личку написал. Посмотри как будет время.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
48
mike 1,
Если переименовывать папку v1.0:
C:\Windows\SysWOW64\WindowsPowerShell\
C:\Windows\System32\WindowsPowerShell\
Ни ярлык ни скрипт не могут обратиться к файлу powershell.exe (+ защита по SRP)
Пока ищу другой способ.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,051
Реакции
5,846
Баллы
648
Vitokhv, можно уточнить, а какой-нибудь список исключений вообще есть в планах?
Т.е. чтобы я, к примеру, мог завести у себя папку c:\Sandbox и всегда писать, запускать / тестировать батники / скрипты из под-неё, а а все остальные блокируются.
Или так и останется, что для запуска скриптов потребуется заходить через ПУСК, глобально отключаить защиту, запускать сценарии, а потом опять включать защиту?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
48
Dragokas,
В расширениях которые отправляются в карантин, прописан запуск через "%1" т.е. путь к исходному файлу.
Даже если можно поменять путь, правило всего одно, т.к. нужно запретить одно, и разрешить другое.

Как вариант, можно попробовать прописать все расширения в SRP и добавить папку исключения с пометкой уровня безопасности "Неограниченный" (при условии, что правила запрета не перекроют правила разрешений).
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,051
Реакции
5,846
Баллы
648
Понял. Спасибо.
Полагаю, прямо сейчас вам сложно ответить, без практических тестов, но всё же.
Следует ли ожидать, что вы запланируете добавить подобный функционал в настройки программы?
И на сколько гибко можно будет управлять исключениями - папка / конкретный файл?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
48
Dragokas,
Если вместо отправки в карантин переключать защиту расширений на SRP, то сделать исключения можно.
Только придется думать как сделать из динамического GUID, статический, чтобы его можно было найти и удалить для отключения правила.
Затем разработать окно или форму для записи пути к файлу, или имени файла. Сами записи нужно сохранять, это тоже нужно продумать.

Ответ - планируется, если смогу реализовать.
 

mike 1

Активный пользователь
Сообщения
2,410
Реакции
936
Баллы
383
Выложил для теста папку 003: RELEASE (без темы оформления)

Добавлено:
- защита от двойных расширений
- блокировка PowerShell через SRP

Остальное в доработке.
В этой версии защита работает. Я просто тестировал на релизной версии.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
48
Привязал установщик к приложению, папка для тестирования 004: RELEASE (без темы оформления)
После установки нужно нажать кнопку "По умолчанию" и затем "Применить".
Ярлыки содержащие собственное расширение нужно переименовывать, или не включать защиту от двойных расширений LNK и EXE
Желательно перезагружать ПК для защиты от PowerShell команд.
 

mike 1

Активный пользователь
Сообщения
2,410
Реакции
936
Баллы
383
При скачивании бета версии утилиты вылезает вот такой балун на Windows 10 x64.

 
Сверху Снизу