FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Нет прав для скачивания
Никаких разумных способов против этого не знаю, если только у разработчка нет легитимной ЭЦП класса EV.
Microsoft все равно не реагирует на письма о ложном срабатывании ихнего SmartScreen.

Ну разве что попробовать потестировать разные версии и надеятся, что смарт-скрину что-то не понравилось на основе поведенческого анализа,
но это точечная и нудная работа.
 
Есть ещё конечно вариант накрыть чем-нибудь, чего не понимает SmartScreen, но взамен получить кучу красноты от других AV, и потом мучаться снимать их.
Ну или повесить ссылку с инструкцией как скачать файл при блокировке SS.
 
Все дело в доменах и ссылках на файл, возможно у Microsoft есть база доверенных и не доверенных сайтов.
SmartScreen в браузере Microsoft Edge (Windows 10) вовсе не дает скачивать через ЯндексДиск, через форум safezone скачивается без предупреждений.
Блокировку можно отключать через "Свойства" файла, и ставить галку "Разблокировать".

Если файл будет выложен как Бетта версия, на этом форуме, то SmartSrceen ничего не покажет (судя по релизной 2.5 версии).
Поэтому, можно попробовать скачать реслизную 2.5 версию, на ЯндексДиске, и получить такое же предупреждение от SmartScreen.

На данный момент Бетта версии нет, нужно постепенно дорабатывать установщик и приложение.
Возможно поменяю сборщик установщика, на более простой (от него требуется только создать ярлыки, и закинуть консольный файл от 7zip в папку).
Причина в окончаниях ссылок, там где есть окончание исполняемого файла: http://domen.ru/folder/file.exe
Перенес в Облако Майл.ру: Папка из Облака Mail.Ru
 
ИМХО, менее подозрительным было бы распространять в формате .zip
Кроме того, на некоторых предприятиях администраторы блокируют скачивание файлов с форматом .exe
Блокировку можно отключать через "Свойства" файла, и ставить галку "Разблокировать".
Это на SmartScreen не влияет.
 
Именно этот параметр и влияет на появление SmartSrcreen, так как при загрузке, файл помечается как скачанный с интернет среды, и на каждый такой файл ставится галка блокировки.
Так как ссылка на версию 2.5 была внесена в базу Microsoft, файл помечается как доверенный, и галка блокировки не ставится при скачивании (не во всех браузерах), если и ставится то с пометкой "Не удалось проверить издателя программы", на которую SmartScreen не реагирует.
Если же ссылка свежая, или домен/файл не доверенный, то получаем такое сообщение, на него и реагирует SmartScreen:
screenshot_136.png

Если же по ссылке файл скачивался часто, он проходит проверку SmartScreen:
screenshot_137.png


Цифровая подпись с 2016 года требует SHA-2 для более поздних версий ОС Windows начиная с Windows 7 SP1
Возможно самоподписанный сертификат не подойдет.
 
Все дело в доменах и ссылках на файл, возможно у Microsoft есть база доверенных и не доверенных сайтов.
Уже много примеров (как мои программы, SecurityCheck, AutoLogger), которые периодически блокирует вне зависимости от домена (у этих программ всегда одна и та же ссылка).
Так что здесь скорее всего проверяется совокупность факторов. И чаще всего, как вы и говорите, если программа только что обновилась (мало статистики).
И кстати, не знаю, 2.5.0 - релизная или нет, но при запуске она у меня тоже заблокировалась SmartScreen-ом (тем что в винде, а не браузере).

Так как ссылка на версию 2.5 была внесена в базу Microsoft
Каким образом вносили?

и галка блокировки не ставится при скачивании (не во всех браузерах)
Специально проверил FixSecurity в IE и Edge при скачивании с safezone. Галка в свойствах файла на месте.
Не ставится только для легитимных ЭЦП.
А в некоторых браузерах действительно вообще никогда не ставится.

Цифровая подпись с 2016 года требует SHA-2 для более поздних версий ОС Windows начиная с Windows 7 SP1
Драйвера требуют, если быть точным. Но в центре сертификации уже наверное никто не выдаст SHA1, если покупать.

Возможно самоподписанный сертификат не подойдет.
Не подойдёт. Самоподписанным можно тоже подписать с SHA2, но толку от него.
Пройдет проверку только легитимный причём не класса 3, а Extended validation (стоит в 2 раза дороже), поэтому:
Именно этот параметр и влияет на появление SmartSrcreen
влияет не галка, а подпись.
 
Мне кажется удобнее гораздо было бы, если бы утилита где то отображалось, то есть для пользователя монопенисуарно, а вот вчера столкнулся с прамблемой, с месяц назад по удаленке в приемной некоторой конторы поставил fixrun, а вчера нужно было принтер переставить, точнее поставить дрова, минут 20 втыкал, почему самсунговский самораспаковывающий архив не может распаковаться, потом вспомнил про то, что месяц назад поставил фиксран, а если бы через год позвонили и попросили драйвер поставить. думаю тупил бы больше...
Кроме того, очень не удобно, что чекбоксы снимать и ставить только через повторную установку, я понимаю, что изменения в реестре нужно применить, но можно же сделать какое то gui окно с чекбоксами и баттон применить, не?
 
HotBeer
Над этим и идет доработка версии 3.0 которая выложена здесь (как тест версия): Папка из Облака Mail.Ru
Скачиваете самый легкий файл FixRun.exe (можно архивом), и уже через него управляйте чекбоксами, без удаления 2.5 версии.
Или же, можно установить FixRunSetup.exe (перед установкой удалить 2.5 версию), и в приложении включить все необходимые функции.
После всех действий нажать кнопку "Применить".

Версия 3.0 имеет все функции, что и в 2.5, но не может отправлять файлы в карантин без консольного файла от 7zip
Это делает установщик (FixRunSetup), добавляет ярлыки в "Пуск" - "Все программы" - "Защита от шифровальщиков" и копирует консольный файл от 7zip

Так же в F.A.Q. были выложены способы отключения защиты архивов: https://safezone.cc/resources/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.196/field?field=FAQ
 
Последнее редактирование:
А может просто функцию добавить "приостановить защиту" на определенные время + возможность ставить эту фнкцию под пароль, дабы юзеры не баловались.
 
akok, в версии 3.0 параметры можно менять. Снимаешь галку с нужного тебе пункта, а далее нажимаешь в FixSecurity кнопку "Применить". Вот и все.
 
Поставил "Защита от шифровальщиков" на windows 7 64. После запуска батника, идет его обработка, но в карантин его нет?
 
Guest
Здесь два варианта, или у файла C:\Program Files\7-Zip\7za.exe нет прав, или нет прав создания файлов в папке C:\Program Files\FixSecurity\Quarantine
По возможности, нужно значение ветки реестра: HKEY_CLASSES_ROOT\batfile\shell\zip\command

mike 1
С переводом пока некогда, в приоритете создать установщик с открытым исходным кодом, выложить проект на GitHub и подписать файл сертификатом для защиты от фальсификации, к сожалению, чтобы защитить ПО от подделки нужен EV класс сертификата, как говорил Dragokas.
Сертификаты Code Signing – сертификаты, используемые для защиты исходного кода программы/приложения. Они предназначены для программистов и служат для защиты программного обеспечения от фальсификации.

Сертификаты EV Code Signing – сертификаты выпускаемые в соответствии с требованиями определенными в документе Guidelines For The Issuance And Management Of Extended Validation Code Signing Certificates, используемые для защиты исходного кода программы/приложения. Они предназначены для программистов и служат для защиты программного обеспечения от подделки.
Пока осваиваю GitHub и если получится, связку с ReadTheDocs

akok
Была такая мысль, но для разработки такого функционала нужно не мало времени потратить на изучение.
Как вариант, использовать планировщик заданий, но опять же, для выполнения таких команд, антивирус должен это разрешить.
 
Пока осваиваю GitHub и если получится, связку с ReadTheDocs
Могу поделиться командами. Если что пиши вопрос в раздел "Другие языки программирования".
Сам освоил недавно его. По крайней мере создание репозитория и автоматическую выгрузку обновлений батником через git bash.

к сожалению, чтобы защитить ПО от подделки нужен EV класс сертификата, как говорил Dragokas.
Если захочешь подписывать self-signed сертификатом, могу поделиться в ЛС скриптом по его созданию.
Проверку подлинности он проходить не будет, но в свойствах файла на вкладке с ЭЦП можно будет удостовериться в целостности файла.
С подлинностью издателя сложнее. Кто-то может создать такой же серт. (т.е. с тем же именем). Доказать, что программа твоя можно только если сравнить SHA256 хеш твоего сертификата и подписи в файле. У чужого файла хеш серт-а будет другой.

Как вариант, использовать планировщик заданий, но опять же, для выполнения таких команд, антивирус должен это разрешить.
Поддерживаю. Интересный вариант.
Планировщиком можно управлять из-под командной строки.
 
Пожелание:

1. Хотелось бы увидеть поддержку специальных ключей запуска FixSecurity через командную строку.

Примеры:

/off - отключение защиты
/on - включение защиты на настройках по умолчанию
/scr_pif_hta on - включение защиты для расширений scr, pif и hta
/scr_pif_hta off - отключение защиты для расширений scr, pif и hta
/? - справка по ключам

Для чего это нужно? Если у вас имеется локальная сеть из 200 компов к примеру, то запускать утилиту админу крайне неудобно на всех этих компах. Куда проще в планировщике заданий создать задачу, которая будет запускать ярлык FixSecurity по расписанию с соответствующими аргументами. Это значительно упрощает процесс развертывания утилиты в больших компьютерных сетях. :Hunter:
 
Добрый день,скажите,пожалуйста,а реально установить данную программу на компьютерах без подключения к интернету? В целях безопасности доступ к интернету на многих компьютерах ограничен,доступ только к ЭП через The Bat...
 
mike 1, пожалуйста, не забивай тему оффтопом, пользы от того, что вы переписываетесь в ЛС 0.0% для остальных пользователей.
 
Назад
Сверху Снизу