FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Нет прав для скачивания
Может уже будем постепенно внедрять утилиту от Vitokhv на форумах, где пользователи столкнулись с шифровальщиком?
Мне кажется или использовать утилиту после заражения уже бессмысленно, это механизм защиты, а не лечения. :)
 
Мне кажется или использовать утилиту после заражения уже бессмысленно, это механизм защиты, а не лечения. :)
Не совсем так. Практика показывает, что пользователи не делают особых выводов после инцидента с шифровальщиком. Свежий пример: Шифровальшик - Уничтожение вирусов
 
Кто хочет потестировать, здесь версия 3.0 (еще даже не бета): Яндекс.Диск
Нужно много еще доделать. Для работы приложения должен быть установлен NET.Framework от версии 2.0
Файл настроек находится здесь: C:\Users\%UserName%\AppData\Local\FixSecurity
Проверяйте наличие файла 7za.exe по пути: C:\Program Files\7-Zip\7za.exe

Добавлено:
- 7ZipSfx.*
- RarSfx*
- FTM*
- Защита от *.gpg расширений по всей системе (по идеи SRP не должно дать скриптам работать с файлами ключей шифрования), эта опция на всякий случай
- Защита от autorun.inf по все системе
- Защита VBA пока на MS Office 2010 (не рекомендуется ее включать, так как макросы работать не будут, как и VBA скрипты), эта опция только для тестирования документов
 
Вчера в одной организации пытались запустить письмо со скриптом:
screenshot_107.png
Само письмо на первый взгляд особого внимания не представляло.
Но если присмотреться, можно обнаружить смешанные символы латиницы и кириллицы:

screenshot_107.png


Видимо, первый этап, попытаться обойти антиспам фильтр.
Вторым этапом запуск почти пустого .JS скрипта, в содержании которого только "откуда скачать" и "куда сохранить" файл с расширением .EXE с помощью Powershell команды.
Этот способ не позволяет детектить файл как угрозу почти всем антивирусам:
screenshot_107.png
Если скрипт скачивает основной файл, то без доступа к интернету или HTTP ресурсу содержащий вирус, скрипт не работает.
Видимо создатели идут на такие жертвы ради обхода детекта, многим у кого провайдер отключил интернет в момент открытия файла - повезло.
Расширение файлов после шифрования, всеми известный: .da_vinci_code

Из вышесказанного нужно дополнить защиту от Powershell команд внутри скриптов, если будет найден способ.
p.s. пока исходники рабочие, те кто может глубже разобрать работу трояна, пишите в ЛС (только для антивирусных аналитиков)
 
Вчера в одной организации пытались запустить письмо со скриптом:

Само письмо на первый взгляд особого внимания не представляло.
Но если присмотреться, можно обнаружить смешанные символы латиницы и кириллицы:

screenshot_107.png


Видимо, первый этап, попытаться обойти антиспам фильтр.
Вторым этапом запуск почти пустого .JS скрипта, в содержании которого только "откуда скачать" и "куда сохранить" файл с расширением .EXE с помощью Powershell команды.
Этот способ не позволяет детектить файл как угрозу почти всем антивирусам:
screenshot_107.png
Если скрипт скачивает основной файл, то без доступа к интернету или HTTP ресурсу содержащий вирус, скрипт не работает.
Видимо создатели идут на такие жертвы ради обхода детекта, многим у кого провайдер отключил интернет в момент открытия файла - повезло.
Расширение файлов после шифрования, всеми известный: .da_vinci_code

Из вышесказанного нужно дополнить защиту от Powershell команд внутри скриптов, если будет найден способ.
p.s. пока исходники рабочие, те кто может глубже разобрать работу трояна, пишите в ЛС (только для антивирусных аналитиков)
Грузит это Antivirus scan for 693e1a6056b6efb4cff6e0d8b380d297646e79231e4df7a9aad8661b714758a8 at 2016-10-18 12:55:06 UTC - VirusTotal на выполнение
 
Немного информации:
Скрипт банально использует стандартное обращение к файлу: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (возможно и v2.0)
На системе где нет Powershell скрипт не работает (например на Windows XP), но все же может быть исключение:
При использовании Windows PowerShell 4.0 и Windows PowerShell 3.0 интегрированная среда сценариев Windows PowerShell по умолчанию включена во всех версиях Windows.
Если она еще не включена, Windows Management Framework 4.0 или Windows Management Framework 3.0 включает ее.
Если ограничить доступ через SRP скрипт не сможет выполнить команду на скачивание вируса:
Доступ к C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe был ограничен по расположению; администратор применил правило политики {2007ec39-75f3-4dfc-86fe-e837082f7aa0} к пути powershell.exe.
Осталось найти раздел реестра, где можно выставить параметры на отключение Powershell.

p.s. очень давно я пробовал включать Powershell через командную строку, уже не помню как и это позволяло перезапускать файервол:
 
Ставишь на файл DACL запрета на исполнение для всех.
Или прописываешь через реестр процессу локальный отладчик.
 
Vitokhv, можно уточнить, а какой-нибудь список исключений вообще есть в планах?
Т.е. чтобы я, к примеру, мог завести у себя папку c:\Sandbox и всегда писать, запускать / тестировать батники / скрипты из под-неё, а а все остальные блокируются.
Или так и останется, что для запуска скриптов потребуется заходить через ПУСК, глобально отключаить защиту, запускать сценарии, а потом опять включать защиту?
 
Dragokas,
В расширениях которые отправляются в карантин, прописан запуск через "%1" т.е. путь к исходному файлу.
Даже если можно поменять путь, правило всего одно, т.к. нужно запретить одно, и разрешить другое.

Как вариант, можно попробовать прописать все расширения в SRP и добавить папку исключения с пометкой уровня безопасности "Неограниченный" (при условии, что правила запрета не перекроют правила разрешений).
 
Понял. Спасибо.
Полагаю, прямо сейчас вам сложно ответить, без практических тестов, но всё же.
Следует ли ожидать, что вы запланируете добавить подобный функционал в настройки программы?
И на сколько гибко можно будет управлять исключениями - папка / конкретный файл?
 
Dragokas,
Если вместо отправки в карантин переключать защиту расширений на SRP, то сделать исключения можно.
Только придется думать как сделать из динамического GUID, статический, чтобы его можно было найти и удалить для отключения правила.
Затем разработать окно или форму для записи пути к файлу, или имени файла. Сами записи нужно сохранять, это тоже нужно продумать.

Ответ - планируется, если смогу реализовать.
 
Выложил для теста папку 003: RELEASE (без темы оформления)

Добавлено:
- защита от двойных расширений
- блокировка PowerShell через SRP

Остальное в доработке.
В этой версии защита работает. Я просто тестировал на релизной версии.
 
Привязал установщик к приложению, папка для тестирования 004: RELEASE (без темы оформления)
После установки нужно нажать кнопку "По умолчанию" и затем "Применить".
Ярлыки содержащие собственное расширение нужно переименовывать, или не включать защиту от двойных расширений LNK и EXE
Желательно перезагружать ПК для защиты от PowerShell команд.
 
Назад
Сверху Снизу