FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

mike 1

Активный пользователь
Сообщения
2,403
Реакции
922
Баллы
453
Потестил вчера на реальной машине на базе Windows 10 x64. Заметил следующее:

1. Если ставить программу из под ограниченной учетной записи, то после установки и перезагрузки почему-то не работают правила только для файлов с расширением *.js. Если запускать файлы из архивов, то защита для *.js и других расширений работает.

2. Если ставить программу из под учетной записи администратора, то все работает как надо.
 

andrew75

Пользователь
Сообщения
24
Реакции
4
Баллы
43
Ну вот, хотел потестировать...
При установке говорит - "Не удалось проверить серийный номер" и ставиться отказывается.
 

mike 1

Активный пользователь
Сообщения
2,403
Реакции
922
Баллы
453
andrew75, в качестве серийного номера вводите 0000-0000-0000-0000? Соединение с интернетом активно?
 

andrew75

Пользователь
Сообщения
24
Реакции
4
Баллы
43
andrew75, в качестве серийного номера вводите 0000-0000-0000-0000? Соединение с интернетом активно?
да, 16 нулей, с интернетом все нормально.
Стоит корпоративный DrWeb, но файервол не установлен.
Единственно может превентивка что-то блокирует.

Нет, отключал превентивку, ничего не изменилось.
На какой адрес он должен коннектиться?
SpiderGate блокирует этот запрос оказывается.
А превентивка не дает менять параметры реестра :)
Отключил.
 
Последнее редактирование:

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Хостинг бесплатный (Hostinger), поэтому такое случается.
Только сейчас освободился, переделаю все, что обсуждали.
 

andrew75

Пользователь
Сообщения
24
Реакции
4
Баллы
43
Нет, это не хостинг - это DrWeb блокирует.

Windows 7 professional 64 bit - все работает

А как насчет того, чтобы сделать отключение отправки карантина через ключ командной строки при установке?
Я тут где-то прочитал, что если PolicyScope=1, то правила будут действовать для всех пользователей кроме администратора. Но тест этого не подтверждает.
 
Последнее редактирование:

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
На Windows XP в настройках SRP заметил не достающие расширения (по умолчанию):
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

На Windows 7(x64) они такие же как на XP, но только при создании политики (по умолчанию этого параметра в реестре нет):
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

На Windows 8.1(x64) они такие же как на XP, но только при создании политики (по умолчанию этого параметра в реестре нет):
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

На Windows 10(x64) они такие же как на XP, но только при создании политики (по умолчанию этого параметра в реестре нет):
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

На сайте Microsoft выписаны в таблице такие расширения:
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP JS JSE LNK MDB MDE MSC MSI MSP MST PCD PIF REG SCR SCT SHS URL VB VBE VBS WSC WSF WSH


Переделаю установку правил SRP:
- исправление отсутствующего раздела "CodeIdentifiers" > "0" в версиях Windows 7 и выше (из за этого не прописывались правила)
- если параметр AuthenticodeEnabled больше значения 0x00000000 (0) то наложение правил отменится как и включение защиты
- если параметр PolicyScope больше значения 0x00000000 (0) то наложение правил отменится как и включение защиты
- если параметр DefaultLevel меньше значения 0x00040000 (262144) то наложение правил отменится как и включение защиты
- если параметр TransparentEnabled меньше значения 0x00000001 (1) или больше значения 0x00000001 (1) то наложение правил отменится как и включение защиты
 

Time

Пользователь
Сообщения
1
Реакции
0
Баллы
41
Я так понимаю, эта утилита схожа с программой сryptopreven?
Что лучше, эта или та?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Koza Nozdri,
Только поддержка.
Код для того, чтобы использовали онлайн чат, когда он сменится (это пока не скоро будет).

Time,
Лучше та, правил больше, но с ними нужно понимать, что не будет работать.
Например программу которая использует %LocalAppData%\Temp\*.exe не смогут установить.
Думаю тонкая настройка в этом поможет, но в этом нужно разбираться.
===========================================================
Этот фикс защищает только от курсора мышки, от тех кто не понимает, что он открывает.


На данный момент, фикс дорабатывается, чтобы все работало.
Задержка может еще на пару дней.
 
  • Like
Реакции: Time

Кирилл

Команда форума
Администратор
Сообщения
13,849
Реакции
6,188
Баллы
913
Что значит только поддержка?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Это когда пользователь сам решает хочет он поддержать или нет.
Иными словами, фикс бесплатный.
 

andrew75

Пользователь
Сообщения
24
Реакции
4
Баллы
43
andrew75,
Добавлять опцию отключения нельзя, так как это основная причина создания фикса, поддержки онлайн чата и аналитиков антивирусных компаний.
Если планировщик не станет отправлять файлы карантина потеряется смысл в анализе новых угроз.
А как вы себе представляете онлайн поддержку?
Ее функции и кто вообще этим будет заниматься?
Это например имело бы смысл для быстрого реагирования на новые вирусные рассылки.
Но только при очень оперативном реагировании.
Вы всерьез считаете, что энтузиасты это потянут, причем на безвозмездной основе?
Судя по оперативности ваших ответов в теме, вы этим точно не сможете заниматься.

При том что сама идея "фикса", как вы это называете очень неплохая, идея онлайн поддержки мне кажется утопической.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Онлайн чат позволит отправлять файлы вручную, если пользователь побоится запустить файл, отправит в чат, где ему подскажут - содержит ли он вредоносный код.
Сначала это будет virustotal затем виртуальная машина, а если не то не другое, тогда отправка антивирусным аналитикам, с получением такого ответа:
newvirus@kaspersky.com
Здравствуйте,
This is not a false positive. The file is infected.
С уважением, антивирусная лаборатория
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
У кого будет желание, проверьте фикс: FixRun.exe — RGhost — файлообменник



- отправлять файл карантина (создает файлы и задание, которые позволяют отправлять файл Карантина на Яндекс диск, для анализа угроз)
- защита архивов правилами SRP (теперь, если параметры SRP отличаются, правила не установятся)
- отображать все типы файлов (отображение расширений всех типов файлов: *.doc *.xls *.jpg и т.д.)
- защита WinRar (если архиватор установлен, включается встроенная защита внутри архиватора)
 

andrew75

Пользователь
Сообщения
24
Реакции
4
Баллы
43
Не совсем понял про "защиту архивов правилами SPR".
Если параметры SPR отличаются от чего? Можно поподробнее?
Windows 7 x64 HP - ошибка при установке:
fix.jpg
Все понятно, надо запускать от имени администратора.
Напишите потом об этом где-нибудь.
У меня на машине как и раньше .exe файлы из архивов запускаются. Но это видимо не показатель. Остальное вроде работает.
Завтра попробую где-нибудь еще проверить.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Уже описывал выше новое поведение для правил SRP:
- если параметр AuthenticodeEnabled больше значения 0x00000000 (0) то наложение правил отменится как и включение защиты
- если параметр PolicyScope больше значения 0x00000000 (0) то наложение правил отменится как и включение защиты
- если параметр DefaultLevel меньше значения 0x00040000 (262144) то наложение правил отменится как и включение защиты
- если параметр TransparentEnabled меньше значения 0x00000001 (1) или больше значения 0x00000001 (1) то наложение правил отменится как и включение защиты

AuthenticodeEnabled = 0 означает не использование сертификатов
TransparentEnabled = 1 означает усиление политик (0 - нет усиления, 1 - все файлы, кроме DLL, 2 - все файлы, включая DLL)
PolicyScope = 0 применение политик к пользователям (0 - ко всем пользователям, 1 - ко всем, кроме администраторов)
DefaultLevel = 40000 включение черных или белых списков правил (40000 - черный список; 0 - белый список)


При запуске от админа, у меня такая же ошибка на Win7x64 (такого быть не должно), пересоберу пакет с нуля.
Проверял на Win10x64 и WinXP такой ошибки не было.
Пересобрал по шаблону, ошибки при запуске от имени админа нет: FixRun.exe — RGhost — файлообменник
По поводу запуска .exe в архивах, экспортируй раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

Посмотрим, создаются ли правила.
 

andrew75

Пользователь
Сообщения
24
Реакции
4
Баллы
43
Я правильно понял, что если значения указанных ключей отдичаются от дефоултных (что видимо означает, что уже установлены какие-то значения политик), то фикс эти значения не меняет и следовательно защита правилами SRP не включится?

Новую сборку попробую сегодня позже.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Я правильно понял, что если значения указанных ключей отдичаются от дефоултных (что видимо означает, что уже установлены какие-то значения политик), то фикс эти значения не меняет и следовательно защита правилами SRP не включится?
Да.
 

andrew75

Пользователь
Сообщения
24
Реакции
4
Баллы
43
Win XP x32 SP3 Prof
Проверял на 3-х типах файлов - .exe, .cmd, .bat
После установки фикса запуск .cmd и .bat блокируется. Запуск .cmd и .bat из архива также блокируется (защиту winrar не устанавливал).
.exe файл из архива запускается.
Соответствующая ветка реестра во вложении.

После удаления фикса ключи в корне ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
НЕ удаляются.
Но при этом .cmd и .bat из архива запускаются.
 

Вложения

  • 14.5 KB Просмотры: 2
Последнее редактирование:
Сверху Снизу