FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

mike 1

Ветеран
Сообщения
2,420
Реакции
925
Баллы
533
В теме про Locky написано.
Стало известно, что за последние несколько дней разработчики Locky / Zepto отказались от использования исполняемого файла для установки Locky / Zepto Ransomware и перешли к использованию DLL. Вероятно, это делается для дальнейшего запутывания и обхода блокаторов исполняемых файлов.

Locky при этом продолжает распространяться через JS-вложения, которые при выполнении загружают зашифрованную версию исполняемого файла. После того, как payload будет дешифрован в DLL-файл, он будет запущен с помощью следующей команды:
JS-скрипты блокируются в FixSecurity.

Майк наверное имеет в виду, что в отличие от всех остальных форматов, DLL не исполняется по двойному клику, поэтому собственно защищать не от чего.
И это тоже.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,000
Баллы
803
JS-скрипты блокируются
Пока что вначале вредонос Locky всё же использует скрипт, но далее система беззащитна, DLL внедряется в процесс и шифрование идёт по системе широким шагом. Антивирусы на это смотрят сквозь пальцы. Дэвам не составит труда изменить алгоритм поставки вредПО.
Также поставщиками шифровальщиков используются макросы и файлы OLE и OCX.
Сейчас функционала FixSecurity, можно сказать, достаточно, потому я и поставил оценку 5.
Но на продумывание дополнительного уйдет какое-то время. Готовиться надо уже сейчас.
 

Кирилл

Команда форума
Администратор
Сообщения
14,089
Реакции
6,139
Баллы
993
Надо в инструкцию дописать что на время установки антивирус надо отключать,иначе программа иногда не может внести нужные изменения в систему.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,000
Баллы
803
После установки FR он нигде не наблюдается.
Это так должно быть?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
SNS-amigo
Для удаления или переустановки можно запустить установщик повторно, он сам себя найдет:
in3.png

Устанавливаются только значки и папки, в меню "Все программы" и "Программы и компоненты".
"Программы и компоненты" (значок оранжевого цвета):
in2.png


"Все программы" (имя папки "Защита от шифровальщиков")
in1.png

Kиpилл
Думаю антивирус может быть Касперский, помню видел в его политике программ батник, который используется при установке.
Попадает в слабые ограничения, потестирую, посмотрю содержимое батника, что именно блокируется.
На данный момент дорабатываю код для новой версии, чтобы изменения вносились через приложение на C#
 

Кирилл

Команда форума
Администратор
Сообщения
14,089
Реакции
6,139
Баллы
993
Нет,доктор-корпоративная лицуха.
Программа просто не может установиться,пока доктора не прибьешь.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,000
Баллы
803
Vitokhv, буду разбираться, этот комп с XP, неактуально, хотел попробовать. Попробую на другом с более актуальной ОСью.

Блокируется не только Касперским, но и Нортон Секьюрити - FR как программа не имеющая многопользовательской репутации (по его меркам это больше 1000 человек), но т.к. этот детект невирусный и управляется на ручнике, т.е. пользователь сам выставляет режим доверия. Выставил. ОК.
 

Guest

Активный пользователь
Сообщения
252
Реакции
343
Баллы
143
После установки не могу время поменять на ПК, появляется окошко CMD.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Guest
Это из за расширения .cpl (timedate.cpl)
Время можно изменить через: "Панель управления" - "Дата и время"
Если мешает, при установке можно снимать галку с расширения .cpl (но это расширения может использоваться шифровальщиками)

SNS-amigo
Скоро будет приложение с чекбоксами и кнопкой.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,000
Баллы
803
Vitokhv, Дней 10 назад я запостил инфу про взятые на вооружение злоумышленниками файлы PUB, хотел сразу сообщить, но уехал, а потом забыл. Ознакомьтесь, может пригодиться.
 

mike 1

Ветеран
Сообщения
2,420
Реакции
925
Баллы
533
Vitokhv, Дней 10 назад я запостил инфу про взятые на вооружение злоумышленниками файлы PUB, хотел сразу сообщить, но уехал, а потом забыл. Ознакомьтесь, может пригодиться.
Распространяемые электронные письма, ссылающиеся на известные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать Microsoft Office Publisher) запускается скрипт VBScript
VBS-скрипты блокируются утилитой.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
SNS-amigo
самораспаковывающийся CAB-файл
Думаю информация в цитате будет важнее, т.к. файл .pub является "документом" его не желательно блокировать, но там где есть угроза все равно можно сделать кнопку.
Расширения которые не должны блокироваться, добавлю, но их придется выбирать вручную в отдельном окне.

p.s. файл .pub не отличается от других документов .doc .docx .xls xlsx и др., так как использует VBA (он же AutoIt) в MS Office которое и приводит к выполнению скриптов (полное отключение VBA ни к чему хорошему не приведет, но все равно добавлю, в отключенном состоянии)
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Код для .XLA похожий:
Код:
Function СуммаПрописью(Рубли)
' Вызов функции для получения числа прописью
Число = CStr(Fix(Рубли))
МужскойРод = Истина
СуммаПрописью = ЧислоПрописью(Число, МужскойРод)
' Строку с заглавной буквы
СуммаПрописью = UCase(Mid(СуммаПрописью, 1, 1)) + _
                       Mid(СуммаПрописью, 2)
' Вычислить длину исходного числа
Длина = Len(Число)
' Если число только из одной цифры, добавить
' до двух (для единообразия алгоритма)
If Длина = 1 Then
    Число = "0" & Число
    Длина = Длина + 1
End If
' Добавление нужного окончания строки
'
' Для чисел, оканчивающихся на 10, 11, 12, 13,
' 14, 15, 16, 17, 18, 19 добавляем "рублей"
If Mid(Число, Длина - 1, 1) = 1 Then
    СуммаПрописью = СуммаПрописью + "рублей"
' Для всех остальных случаев
Else
    Select Case Mid(Число, Длина)
' Для чисел, оканчивающихся на 1 добавляем "рубль"
    Case 1
        СуммаПрописью = СуммаПрописью + "рубль"
' Для чисел, оканчивающихся на 2, 3, 4
' добавляем "рубля"
    Case 2, 3, 4
        СуммаПрописью = СуммаПрописью + "рубля"
' Для чисел, оканчивающихся на 5, 6, 7, 8,
' 9, 0 добавляем "рублей"
    Case Else
        СуммаПрописью = СуммаПрописью + "рублей"
    End Select
End If
' Считаем копейки
Переменная = (Рубли - Fix(Рубли)) * 100
If (Переменная - Fix(Переменная)) > 0.5 Then
    Переменная = Fix(Переменная) + 1
Else
    Переменная = Fix(Переменная)
End If
Копейки = CStr(Переменная)
' Окончательно формируем результат, добавляя копейки
If Len(Копейки) = 1 Then
    Копейки = "0" + Копейки
End If
СуммаПрописью = СуммаПрописью + " " + Копейки + " "
' Для чисел, оканчивающихся на 10, 11, 12, 13,
' 14, 15, 16, 17, 18, 19 добавляем "копеек"
If Mid(Копейки, 1, 1) = 1 Then
    СуммаПрописью = СуммаПрописью + "копеек"
' Для всех остальных случаев
Else
    Select Case Mid(Копейки, 2)
' Для чисел, оканчивающихся на 1 добавляем "копейка"
    Case 1
        СуммаПрописью = СуммаПрописью + "копейка"
' Для чисел, оканчивающихся на 2, 3, 4
' добавляем "копеек"
    Case 2, 3, 4
        СуммаПрописью = СуммаПрописью + "копейки"
' Для чисел, оканчивающихся на 5, 6, 7, 8,
' 9, 0 добавляем "копеек"
    Case Else
        СуммаПрописью = СуммаПрописью + "копеек"
    End Select
End If
End Function
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
VBA, VBS и VB6 ещё более похожий, но это разные языки.
Если из VBA ещё можно выполнить код VBS с использованием OLE, то код AutoIt - нет, без программы-интерпретатора.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Временные папки для SFX
Поправьте если ошибаюсь:
7z*.sfx или 7ZipSfx.* - для самораспаковывающихся архивов 7zip

RarSfx* - для самораспаковывающихся архивов WinRAR
FTM* - для файлового менеджера FAR

Вроде это все более известные архиваторы с поддержкой SFX
 

mike 1

Ветеран
Сообщения
2,420
Реакции
925
Баллы
533
Может уже будем постепенно внедрять утилиту от Vitokhv на форумах, где пользователи столкнулись с шифровальщиком? Точно так же, как мы сейчас используем утилиту от glax24. Кто нибудь возьмется написать шаблон?
 
  • Like
Реакции: E100

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
mike 1
Осталось немного до доработки приложения, еще пару дней и бэта версия.
В ней уже будет возможность включать и отключать защиту, сразу, без переустановки.

Но как крайняя мера пусть используют, что есть.
 
  • Like
Реакции: E100

Кирилл

Команда форума
Администратор
Сообщения
14,089
Реакции
6,139
Баллы
993
Vitokhv, программа останется бесплатной?
 
Сверху Снизу