FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Никаких разумных способов против этого не знаю, если только у разработчка нет легитимной ЭЦП класса EV.
Microsoft все равно не реагирует на письма о ложном срабатывании ихнего SmartScreen.

Ну разве что попробовать потестировать разные версии и надеятся, что смарт-скрину что-то не понравилось на основе поведенческого анализа,
но это точечная и нудная работа.
 

mike 1

Ветеран
Сообщения
2,420
Реакции
925
Баллы
533
Dragokas, при запуске релизной версии FixSecurity из ресурсов форума балуна нет.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Есть ещё конечно вариант накрыть чем-нибудь, чего не понимает SmartScreen, но взамен получить кучу красноты от других AV, и потом мучаться снимать их.
Ну или повесить ссылку с инструкцией как скачать файл при блокировке SS.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Все дело в доменах и ссылках на файл, возможно у Microsoft есть база доверенных и не доверенных сайтов.
SmartScreen в браузере Microsoft Edge (Windows 10) вовсе не дает скачивать через ЯндексДиск, через форум safezone скачивается без предупреждений.
Блокировку можно отключать через "Свойства" файла, и ставить галку "Разблокировать".

Если файл будет выложен как Бетта версия, на этом форуме, то SmartSrceen ничего не покажет (судя по релизной 2.5 версии).
Поэтому, можно попробовать скачать реслизную 2.5 версию, на ЯндексДиске, и получить такое же предупреждение от SmartScreen.

На данный момент Бетта версии нет, нужно постепенно дорабатывать установщик и приложение.
Возможно поменяю сборщик установщика, на более простой (от него требуется только создать ярлыки, и закинуть консольный файл от 7zip в папку).
Причина в окончаниях ссылок, там где есть окончание исполняемого файла: http://domen.ru/folder/file.exe
Перенес в Облако Майл.ру: Папка из Облака Mail.Ru
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
ИМХО, менее подозрительным было бы распространять в формате .zip
Кроме того, на некоторых предприятиях администраторы блокируют скачивание файлов с форматом .exe
Блокировку можно отключать через "Свойства" файла, и ставить галку "Разблокировать".
Это на SmartScreen не влияет.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Именно этот параметр и влияет на появление SmartSrcreen, так как при загрузке, файл помечается как скачанный с интернет среды, и на каждый такой файл ставится галка блокировки.
Так как ссылка на версию 2.5 была внесена в базу Microsoft, файл помечается как доверенный, и галка блокировки не ставится при скачивании (не во всех браузерах), если и ставится то с пометкой "Не удалось проверить издателя программы", на которую SmartScreen не реагирует.
Если же ссылка свежая, или домен/файл не доверенный, то получаем такое сообщение, на него и реагирует SmartScreen:

Если же по ссылке файл скачивался часто, он проходит проверку SmartScreen:


Цифровая подпись с 2016 года требует SHA-2 для более поздних версий ОС Windows начиная с Windows 7 SP1
Возможно самоподписанный сертификат не подойдет.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Все дело в доменах и ссылках на файл, возможно у Microsoft есть база доверенных и не доверенных сайтов.
Уже много примеров (как мои программы, SecurityCheck, AutoLogger), которые периодически блокирует вне зависимости от домена (у этих программ всегда одна и та же ссылка).
Так что здесь скорее всего проверяется совокупность факторов. И чаще всего, как вы и говорите, если программа только что обновилась (мало статистики).
И кстати, не знаю, 2.5.0 - релизная или нет, но при запуске она у меня тоже заблокировалась SmartScreen-ом (тем что в винде, а не браузере).

Так как ссылка на версию 2.5 была внесена в базу Microsoft
Каким образом вносили?

и галка блокировки не ставится при скачивании (не во всех браузерах)
Специально проверил FixSecurity в IE и Edge при скачивании с safezone. Галка в свойствах файла на месте.
Не ставится только для легитимных ЭЦП.
А в некоторых браузерах действительно вообще никогда не ставится.

Цифровая подпись с 2016 года требует SHA-2 для более поздних версий ОС Windows начиная с Windows 7 SP1
Драйвера требуют, если быть точным. Но в центре сертификации уже наверное никто не выдаст SHA1, если покупать.

Возможно самоподписанный сертификат не подойдет.
Не подойдёт. Самоподписанным можно тоже подписать с SHA2, но толку от него.
Пройдет проверку только легитимный причём не класса 3, а Extended validation (стоит в 2 раза дороже), поэтому:
Именно этот параметр и влияет на появление SmartSrcreen
влияет не галка, а подпись.
 

HotBeer

Команда форума
Ассоциация VN/VIP
Модератор
Сообщения
338
Реакции
188
Баллы
273
Мне кажется удобнее гораздо было бы, если бы утилита где то отображалось, то есть для пользователя монопенисуарно, а вот вчера столкнулся с прамблемой, с месяц назад по удаленке в приемной некоторой конторы поставил fixrun, а вчера нужно было принтер переставить, точнее поставить дрова, минут 20 втыкал, почему самсунговский самораспаковывающий архив не может распаковаться, потом вспомнил про то, что месяц назад поставил фиксран, а если бы через год позвонили и попросили драйвер поставить. думаю тупил бы больше...
Кроме того, очень не удобно, что чекбоксы снимать и ставить только через повторную установку, я понимаю, что изменения в реестре нужно применить, но можно же сделать какое то gui окно с чекбоксами и баттон применить, не?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
HotBeer
Над этим и идет доработка версии 3.0 которая выложена здесь (как тест версия): Папка из Облака Mail.Ru
Скачиваете самый легкий файл FixRun.exe (можно архивом), и уже через него управляйте чекбоксами, без удаления 2.5 версии.
Или же, можно установить FixRunSetup.exe (перед установкой удалить 2.5 версию), и в приложении включить все необходимые функции.
После всех действий нажать кнопку "Применить".

Версия 3.0 имеет все функции, что и в 2.5, но не может отправлять файлы в карантин без консольного файла от 7zip
Это делает установщик (FixRunSetup), добавляет ярлыки в "Пуск" - "Все программы" - "Защита от шифровальщиков" и копирует консольный файл от 7zip

Так же в F.A.Q. были выложены способы отключения защиты архивов: http://safezone.cc/resources/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.196/field?field=FAQ
 
Последнее редактирование:

mike 1

Ветеран
Сообщения
2,420
Реакции
925
Баллы
533
Наверное следующим шагом можно попробовать перевести FixSecurity на английский язык.
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
А может просто функцию добавить "приостановить защиту" на определенные время + возможность ставить эту фнкцию под пароль, дабы юзеры не баловались.
 
  • Like
Реакции: E100

mike 1

Ветеран
Сообщения
2,420
Реакции
925
Баллы
533
akok, в версии 3.0 параметры можно менять. Снимаешь галку с нужного тебе пункта, а далее нажимаешь в FixSecurity кнопку "Применить". Вот и все.
 

Guest

Активный пользователь
Сообщения
253
Реакции
343
Баллы
143
Поставил "Защита от шифровальщиков" на windows 7 64. После запуска батника, идет его обработка, но в карантин его нет?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Guest
Здесь два варианта, или у файла C:\Program Files\7-Zip\7za.exe нет прав, или нет прав создания файлов в папке C:\Program Files\FixSecurity\Quarantine
По возможности, нужно значение ветки реестра: HKEY_CLASSES_ROOT\batfile\shell\zip\command

mike 1
С переводом пока некогда, в приоритете создать установщик с открытым исходным кодом, выложить проект на GitHub и подписать файл сертификатом для защиты от фальсификации, к сожалению, чтобы защитить ПО от подделки нужен EV класс сертификата, как говорил Dragokas.
Сертификаты Code Signing – сертификаты, используемые для защиты исходного кода программы/приложения. Они предназначены для программистов и служат для защиты программного обеспечения от фальсификации.

Сертификаты EV Code Signing – сертификаты выпускаемые в соответствии с требованиями определенными в документе Guidelines For The Issuance And Management Of Extended Validation Code Signing Certificates, используемые для защиты исходного кода программы/приложения. Они предназначены для программистов и служат для защиты программного обеспечения от подделки.
Пока осваиваю GitHub и если получится, связку с ReadTheDocs

akok
Была такая мысль, но для разработки такого функционала нужно не мало времени потратить на изучение.
Как вариант, использовать планировщик заданий, но опять же, для выполнения таких команд, антивирус должен это разрешить.
 

Guest

Активный пользователь
Сообщения
253
Реакции
343
Баллы
143
Спасибо, заработало!!!
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,394
Реакции
5,892
Баллы
718
Пока осваиваю GitHub и если получится, связку с ReadTheDocs
Могу поделиться командами. Если что пиши вопрос в раздел "Другие языки программирования".
Сам освоил недавно его. По крайней мере создание репозитория и автоматическую выгрузку обновлений батником через git bash.

к сожалению, чтобы защитить ПО от подделки нужен EV класс сертификата, как говорил Dragokas.
Если захочешь подписывать self-signed сертификатом, могу поделиться в ЛС скриптом по его созданию.
Проверку подлинности он проходить не будет, но в свойствах файла на вкладке с ЭЦП можно будет удостовериться в целостности файла.
С подлинностью издателя сложнее. Кто-то может создать такой же серт. (т.е. с тем же именем). Доказать, что программа твоя можно только если сравнить SHA256 хеш твоего сертификата и подписи в файле. У чужого файла хеш серт-а будет другой.

Как вариант, использовать планировщик заданий, но опять же, для выполнения таких команд, антивирус должен это разрешить.
Поддерживаю. Интересный вариант.
Планировщиком можно управлять из-под командной строки.
 

mike 1

Ветеран
Сообщения
2,420
Реакции
925
Баллы
533
Пожелание:

1. Хотелось бы увидеть поддержку специальных ключей запуска FixSecurity через командную строку.

Примеры:

/off - отключение защиты
/on - включение защиты на настройках по умолчанию
/scr_pif_hta on - включение защиты для расширений scr, pif и hta
/scr_pif_hta off - отключение защиты для расширений scr, pif и hta
/? - справка по ключам

Для чего это нужно? Если у вас имеется локальная сеть из 200 компов к примеру, то запускать утилиту админу крайне неудобно на всех этих компах. Куда проще в планировщике заданий создать задачу, которая будет запускать ярлык FixSecurity по расписанию с соответствующими аргументами. Это значительно упрощает процесс развертывания утилиты в больших компьютерных сетях. :Hunter:
 

Александр Волков

Пользователь
Сообщения
1
Реакции
3
Баллы
43
Добрый день,скажите,пожалуйста,а реально установить данную программу на компьютерах без подключения к интернету? В целях безопасности доступ к интернету на многих компьютерах ограничен,доступ только к ЭП через The Bat...
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Александр Волков
Приложению не нужен интернет.
Раньше, в старых версиях, была необходимость проверять серийный номер, сейчас этого нет.

mike 1
Жду ответ, в ЛС.
 

akok

Команда форума
Администратор
Сообщения
19,426
Реакции
13,392
Баллы
2,203
mike 1, пожалуйста, не забивай тему оффтопом, пользы от того, что вы переписываетесь в ЛС 0.0% для остальных пользователей.
 
Сверху Снизу