FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Кирилл

Команда форума
Администратор
Сообщения
13,812
Реакции
6,164
Баллы
913
Vitokhv, приложение может делать бэкап изменяемых данных реестра?
Или может выложить твик в теме?
Сегодня столкнулся с таким:
Понадобилось отключить некоторые опции,т.к. это возможно только через переустановку - деинсталлировал.
Но антивирус не дал внести данные в реестр!
В итоге танцы с бубнами.
И еще вопрос: вместо пункта меню запустить (скрипт) имеется сохранить.
Но как быть если надо от имени администратора?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Kиpилл, в бэта версии не нужна переустановка (после скачивания в свойствах файла нажать кнопку "Разблокировать"): Папка из Облака Mail.Ru или RELEASE
Чтобы запустить скрипт, в бэта версии убираете галку с нужного расширения, и нажимаете применить.
Возможности запустить скрипты через контекстное меню, скрыты, за это отвечает раздел: HKEY_CLASSES_ROOT\расширение\shell\runas и ключ: LegacyDisable
Где LegacyDisable скрывает в контекстном меню строку "Запустить от имени Администратора" если этого ключа нет, то строка отображается.
Это сделано для защиты от самого себя (в большей степени касается бухгалтеров), или когда передают файл другим, чтобы те попытались открыть на другом ПК.
Для того, чтобы антивирус разрешал, нужен сертификат, чтобы по нему Антивирусные компании могли ориентироваться. Пока этого нет.
 

sumerk

Новый пользователь
Сообщения
1
Реакции
1
Баллы
13
Добрый день!
Подскажите, как раскатать этот фикс в домене AD?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
sumerk, все зависит от того, какой метод изменения реестра в домене Вы используете. Раскатать фикс в домене можно, но управлять им будет проблемой. Для таких задач хорошо подходит клиент-серверное приложение, но задачи такого уровня сложно реализовать. Ключевое изменение для фикса находится здесь: HKEY_CLASSES_ROOT\расширение
И для подстраховки используется SRP, опять же через реестр, в домене лучше вручную вносить правила в "Политики ограниченного использования программ". В политике SRP все зависит от того какой метод защиты используется, белый или черный список. Фикс использует черный список "Неограниченный", где запрещено только то, что есть в правилах. Многие администраторы используют белый список "Запрещено", где любая устанавливаемая программа или запускаемый скрипт, требует права администратора.



Более простой вариант, ассоциировать расширения:
Код:
@echo off
rem assoc .js=jsfile assoc .js=txtfile
rem assoc .jse=jsefile assoc .jse=txtfile
и т.д.
Минус в таком варианте, в том, что остаются возможности запуска в контекстном меню "Запуск от имени администратора" и прочие...
Это можно поправить если внести ключ реестра "LegacyDisable" в нужные разделы для расширений.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
Vitokhv, какая совместимость у программы и требования для установки?

Если есть какие-то ограничения, просьба написать это на главной странице ресурса.

Запуск на XP:
1.png
На всех системах ошибка.
upload_2017-4-22_13-26-35.png

Файл криво закачался на сервер?
А в истории версий почему то других версий нету :(
Разобрался, там повреждён манифест, но ещё и проверка на CRC стоит.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Dragokas, спасибо, перезалью файл.

Прямая ссылка на файл: FixRun.exe (версия 2.5.0)
SHA1 5D1C8D7826BDBE279A5EC63BCE78A9915506A15A
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,593
Реакции
13,430
Баллы
2,203

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Кто может выложить обновления MS17-010, чтобы не скачивать через официальные источники нажимая кучу ссылок?
Для защиты от данного вируса, есть зарубежное ПО, которое, судя по тестам блокирует WannaCry (ссылка)
Возможно это ПО может помешать в установке некоторых программ, но есть отключение защиты на 1 час.
Наглядный пример тестирования:

 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Устаревший протокол SMBv1 использует поддержку Windows XP для обмена файлами.
Поэтому на всех версиях Windows осталась поддержка данного протокола.
Чтобы заблокировать протокол SMBv1, необходимо внести изменения в реестр (официальная страница):
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"SMB1"=dword:00000000
Так же, не забывайте, что уязвимость в SMBv1 протоколе работает через 445 порт.
Блокировать данный порт нужно, не на самом ПК, а на сетевых устройствах, смотрящие в интернет.
Иначе, Вы не сможете обмениваться файлами внутри локальной сети, и пользоваться сетевыми МФУ.
Проверить Ваш порт можно по ссылке сервиса 2IP: Проверка порта

Заражаются только те компьютеры, которые напрямую подключены к интернету (без NAT).
Но если главный сервер со статическим адресом, подключен к локальной сети, то вирус находит остальные ПК.

По поводу версии SMBv2 немного сложнее, об этом здесь: ссылка
Поэтому обязательно ставьте обновления MS17-010, ссылки в посту от regist: #4
Для защиты от данного вируса, внутри системы, используйте ПО в посту: #168

----------------------------------------------------------------------------------------------------------------
Информация взята из источников: #1 #2 #3
 
Последнее редактирование модератором:

mike 1

Активный пользователь
Сообщения
2,414
Реакции
936
Баллы
383
Vitokhv, может в FixSecurity добавить этот твик?
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
mike 1, лучше установить обновление, об этом ниже:
p.s. в новой версии добавлю ссылки на обновления

По поводу версии SMBv2 немного сложнее, об этом здесь: ссылка
Поэтому обязательно ставьте обновления MS17-010, ссылки в посте: #4
Для защиты от данного вируса, внутри системы, используйте ПО в посте: #168
 
Последнее редактирование:

HotBeer

Команда форума
Ассоциация VN/VIP
Модератор
Сообщения
317
Реакции
173
Баллы
213
Тут коллега спрашивает, можно каменты по этому поводу?
> Юра (09:56:02 16/05/2017)
> нет сразу выдает сообщение "для установки фикс ран требуется активное подключение к интернету, пожалуйста проверьте настройки прокси-сервера и конфигурации сети
> Юра (09:57:00 16/05/2017)
> любой установщик который я скачивал так ругается, что апрельский что сегодняшний
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
HotBeer, пусть пока использует бета версию: Папка из Облака Mail.Ru (FixRunSetup)
Все, что в ней требуется это NetFramework 3.5 и выше.

В старых версиях использовалась проверка серийного номера, поэтому добавлялась функция (если нет интернета, не производить установку).
В программе Advanced Installer она называется Active Internet Connection.
 

Vitokhv

Разработчик
Сообщения
86
Реакции
106
Баллы
78
Информация по защите от новых видов шифровальщиков: Cybereason Detects and Stops NotPetya Ransomware
Или просто установите защиту: Загрузить

Для того, чтобы блокировать угрозу, нужно нажимать на кнопку "YES":

 

Alien

Пользователь
Сообщения
369
Реакции
54
Баллы
38
у какого-то производителя антивирусного ПО есть бесплатное ПО, следящее за изменой файлов. либо symantec либо trend micro

Лучшая защита в корпоративном, вовремя установленное обновления ПО от microsoft (включая офис пакеты, я считаю, что устанавливать сервис паки достаточно, если макросы не включены то большинство не пройдёт), WSUS регулярный бекап,(лучше на кассету LTO5-6) + включённое теневое копировани, + правильно настроенный брандмауэр на сервере, запрет скачивания exe, никому администраторских привилегий не давать, (закрыть как минимум порты), и applocker. что касается централизованного антивируса, разве что Symantec Endpoint. + правильно настроенный почтовый сервер, MDaemon к примеру, не скачивать файлы, блокировать спам, иметь белый ip, не занесенный в списки. ну и наконец applocker.
 

Oleksa

Пользователь
Сообщения
157
Реакции
29
Баллы
38
Добрый день!В папке Fix Security>Quarantine,появился (файл infected).Что с ним делать и как удалить(если нужно)?Спасибо!
 

akok

Команда форума
Администратор
Сообщения
17,593
Реакции
13,430
Баллы
2,203
Пожалуйста не грузите потенциально вредоносное ПО во вложения.
 

Oleksa

Пользователь
Сообщения
157
Реакции
29
Баллы
38
Что с ним делать и как удалить?
 
Сверху Снизу