FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
Vitokhv, приложение может делать бэкап изменяемых данных реестра?
Или может выложить твик в теме?
Сегодня столкнулся с таким:
Понадобилось отключить некоторые опции,т.к. это возможно только через переустановку - деинсталлировал.
Но антивирус не дал внести данные в реестр!
В итоге танцы с бубнами.
И еще вопрос: вместо пункта меню запустить (скрипт) имеется сохранить.
Но как быть если надо от имени администратора?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Kиpилл, в бэта версии не нужна переустановка (после скачивания в свойствах файла нажать кнопку "Разблокировать"): Папка из Облака Mail.Ru или RELEASE
Чтобы запустить скрипт, в бэта версии убираете галку с нужного расширения, и нажимаете применить.
Возможности запустить скрипты через контекстное меню, скрыты, за это отвечает раздел: HKEY_CLASSES_ROOT\расширение\shell\runas и ключ: LegacyDisable
Где LegacyDisable скрывает в контекстном меню строку "Запустить от имени Администратора" если этого ключа нет, то строка отображается.
Это сделано для защиты от самого себя (в большей степени касается бухгалтеров), или когда передают файл другим, чтобы те попытались открыть на другом ПК.
Для того, чтобы антивирус разрешал, нужен сертификат, чтобы по нему Антивирусные компании могли ориентироваться. Пока этого нет.
 

sumerk

Пользователь
Сообщения
1
Реакции
1
Баллы
43
Добрый день!
Подскажите, как раскатать этот фикс в домене AD?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
sumerk, все зависит от того, какой метод изменения реестра в домене Вы используете. Раскатать фикс в домене можно, но управлять им будет проблемой. Для таких задач хорошо подходит клиент-серверное приложение, но задачи такого уровня сложно реализовать. Ключевое изменение для фикса находится здесь: HKEY_CLASSES_ROOT\расширение
И для подстраховки используется SRP, опять же через реестр, в домене лучше вручную вносить правила в "Политики ограниченного использования программ". В политике SRP все зависит от того какой метод защиты используется, белый или черный список. Фикс использует черный список "Неограниченный", где запрещено только то, что есть в правилах. Многие администраторы используют белый список "Запрещено", где любая устанавливаемая программа или запускаемый скрипт, требует права администратора.



Более простой вариант, ассоциировать расширения:
Код:
@echo off
rem assoc .js=jsfile assoc .js=txtfile
rem assoc .jse=jsefile assoc .jse=txtfile
и т.д.
Минус в таком варианте, в том, что остаются возможности запуска в контекстном меню "Запуск от имени администратора" и прочие...
Это можно поправить если внести ключ реестра "LegacyDisable" в нужные разделы для расширений.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,388
Реакции
5,880
Баллы
718
Vitokhv, какая совместимость у программы и требования для установки?

Если есть какие-то ограничения, просьба написать это на главной странице ресурса.

Запуск на XP:
1.png

На всех системах ошибка.
upload_2017-4-22_13-26-35.png


Файл криво закачался на сервер?
А в истории версий почему то других версий нету :(
Разобрался, там повреждён манифест, но ещё и проверка на CRC стоит.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Dragokas, спасибо, перезалью файл.

Прямая ссылка на файл: FixRun.exe (версия 2.5.0)
SHA1 5D1C8D7826BDBE279A5EC63BCE78A9915506A15A
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Кто может выложить обновления MS17-010, чтобы не скачивать через официальные источники нажимая кучу ссылок?
Для защиты от данного вируса, есть зарубежное ПО, которое, судя по тестам блокирует WannaCry (ссылка)
Возможно это ПО может помешать в установке некоторых программ, но есть отключение защиты на 1 час.
Наглядный пример тестирования:

 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Устаревший протокол SMBv1 использует поддержку Windows XP для обмена файлами.
Поэтому на всех версиях Windows осталась поддержка данного протокола.
Чтобы заблокировать протокол SMBv1, необходимо внести изменения в реестр (официальная страница):
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"SMB1"=dword:00000000
Так же, не забывайте, что уязвимость в SMBv1 протоколе работает через 445 порт.
Блокировать данный порт нужно, не на самом ПК, а на сетевых устройствах, смотрящие в интернет.
Иначе, Вы не сможете обмениваться файлами внутри локальной сети, и пользоваться сетевыми МФУ.
Проверить Ваш порт можно по ссылке сервиса 2IP: Проверка порта

Заражаются только те компьютеры, которые напрямую подключены к интернету (без NAT).
Но если главный сервер со статическим адресом, подключен к локальной сети, то вирус находит остальные ПК.

По поводу версии SMBv2 немного сложнее, об этом здесь: ссылка
Поэтому обязательно ставьте обновления MS17-010, ссылки в посту от regist: #4
Для защиты от данного вируса, внутри системы, используйте ПО в посту: #168

----------------------------------------------------------------------------------------------------------------
Информация взята из источников: #1 #2 #3
 
Последнее редактирование модератором:

mike 1

Активный пользователь
Сообщения
2,418
Реакции
921
Баллы
453
Vitokhv, может в FixSecurity добавить этот твик?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
mike 1, лучше установить обновление, об этом ниже:
p.s. в новой версии добавлю ссылки на обновления

По поводу версии SMBv2 немного сложнее, об этом здесь: ссылка
Поэтому обязательно ставьте обновления MS17-010, ссылки в посте: #4
Для защиты от данного вируса, внутри системы, используйте ПО в посте: #168
 
Последнее редактирование:

HotBeer

Команда форума
Ассоциация VN/VIP
Модератор
Сообщения
335
Реакции
185
Баллы
273
Тут коллега спрашивает, можно каменты по этому поводу?
> Юра (09:56:02 16/05/2017)
> нет сразу выдает сообщение "для установки фикс ран требуется активное подключение к интернету, пожалуйста проверьте настройки прокси-сервера и конфигурации сети
> Юра (09:57:00 16/05/2017)
> любой установщик который я скачивал так ругается, что апрельский что сегодняшний
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
HotBeer, пусть пока использует бета версию: Папка из Облака Mail.Ru (FixRunSetup)
Все, что в ней требуется это NetFramework 3.5 и выше.

В старых версиях использовалась проверка серийного номера, поэтому добавлялась функция (если нет интернета, не производить установку).
В программе Advanced Installer она называется Active Internet Connection.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
107
Баллы
118
Информация по защите от новых видов шифровальщиков: Cybereason Detects and Stops NotPetya Ransomware
Или просто установите защиту: Загрузить

Для того, чтобы блокировать угрозу, нужно нажимать на кнопку "YES":

 

Alien

Активный пользователь
Сообщения
392
Реакции
46
Баллы
68
у какого-то производителя антивирусного ПО есть бесплатное ПО, следящее за изменой файлов. либо symantec либо trend micro

Лучшая защита в корпоративном, вовремя установленное обновления ПО от microsoft (включая офис пакеты, я считаю, что устанавливать сервис паки достаточно, если макросы не включены то большинство не пройдёт), WSUS регулярный бекап,(лучше на кассету LTO5-6) + включённое теневое копировани, + правильно настроенный брандмауэр на сервере, запрет скачивания exe, никому администраторских привилегий не давать, (закрыть как минимум порты), и applocker. что касается централизованного антивируса, разве что Symantec Endpoint. + правильно настроенный почтовый сервер, MDaemon к примеру, не скачивать файлы, блокировать спам, иметь белый ip, не занесенный в списки. ну и наконец applocker.
 

Oleksa

Активный пользователь
Сообщения
157
Реакции
29
Баллы
68
Добрый день!В папке Fix Security>Quarantine,появился (файл infected).Что с ним делать и как удалить(если нужно)?Спасибо!
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Пожалуйста не грузите потенциально вредоносное ПО во вложения.
 

Oleksa

Активный пользователь
Сообщения
157
Реакции
29
Баллы
68
Что с ним делать и как удалить?
 
Сверху Снизу