FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Нет прав для скачивания
Vitokhv, приложение может делать бэкап изменяемых данных реестра?
Или может выложить твик в теме?
Сегодня столкнулся с таким:
Понадобилось отключить некоторые опции,т.к. это возможно только через переустановку - деинсталлировал.
Но антивирус не дал внести данные в реестр!
В итоге танцы с бубнами.
И еще вопрос: вместо пункта меню запустить (скрипт) имеется сохранить.
Но как быть если надо от имени администратора?
 
Kиpилл, в бэта версии не нужна переустановка (после скачивания в свойствах файла нажать кнопку "Разблокировать"): Папка из Облака Mail.Ru или RELEASE
Чтобы запустить скрипт, в бэта версии убираете галку с нужного расширения, и нажимаете применить.
Возможности запустить скрипты через контекстное меню, скрыты, за это отвечает раздел: HKEY_CLASSES_ROOT\расширение\shell\runas и ключ: LegacyDisable
Где LegacyDisable скрывает в контекстном меню строку "Запустить от имени Администратора" если этого ключа нет, то строка отображается.
Это сделано для защиты от самого себя (в большей степени касается бухгалтеров), или когда передают файл другим, чтобы те попытались открыть на другом ПК.
Для того, чтобы антивирус разрешал, нужен сертификат, чтобы по нему Антивирусные компании могли ориентироваться. Пока этого нет.
 
sumerk, все зависит от того, какой метод изменения реестра в домене Вы используете. Раскатать фикс в домене можно, но управлять им будет проблемой. Для таких задач хорошо подходит клиент-серверное приложение, но задачи такого уровня сложно реализовать. Ключевое изменение для фикса находится здесь: HKEY_CLASSES_ROOT\расширение
И для подстраховки используется SRP, опять же через реестр, в домене лучше вручную вносить правила в "Политики ограниченного использования программ". В политике SRP все зависит от того какой метод защиты используется, белый или черный список. Фикс использует черный список "Неограниченный", где запрещено только то, что есть в правилах. Многие администраторы используют белый список "Запрещено", где любая устанавливаемая программа или запускаемый скрипт, требует права администратора.

A%2F%2Fs32.postimg.org%2Faztqy9l0l%2Fscreenshot_22.png

Более простой вариант, ассоциировать расширения:
Код:
@echo off
rem assoc .js=jsfile assoc .js=txtfile
rem assoc .jse=jsefile assoc .jse=txtfile
и т.д.
Минус в таком варианте, в том, что остаются возможности запуска в контекстном меню "Запуск от имени администратора" и прочие...
Это можно поправить если внести ключ реестра "LegacyDisable" в нужные разделы для расширений.
 
Последнее редактирование:
Vitokhv, какая совместимость у программы и требования для установки?

Если есть какие-то ограничения, просьба написать это на главной странице ресурса.

Запуск на XP:
1.png

На всех системах ошибка.
upload_2017-4-22_13-26-35.png


Файл криво закачался на сервер?
А в истории версий почему то других версий нету :(
Разобрался, там повреждён манифест, но ещё и проверка на CRC стоит.
 
Кто может выложить обновления MS17-010, чтобы не скачивать через официальные источники нажимая кучу ссылок?
Для защиты от данного вируса, есть зарубежное ПО, которое, судя по тестам блокирует WannaCry (ссылка)
Возможно это ПО может помешать в установке некоторых программ, но есть отключение защиты на 1 час.
Наглядный пример тестирования:

 
Устаревший протокол SMBv1 использует поддержку Windows XP для обмена файлами.
Поэтому на всех версиях Windows осталась поддержка данного протокола.
Чтобы заблокировать протокол SMBv1, необходимо внести изменения в реестр (официальная страница):
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"SMB1"=dword:00000000

Так же, не забывайте, что уязвимость в SMBv1 протоколе работает через 445 порт.
Блокировать данный порт нужно, не на самом ПК, а на сетевых устройствах, смотрящие в интернет.
Иначе, Вы не сможете обмениваться файлами внутри локальной сети, и пользоваться сетевыми МФУ.
Проверить Ваш порт можно по ссылке сервиса 2IP: Проверка порта

Заражаются только те компьютеры, которые напрямую подключены к интернету (без NAT).
Но если главный сервер со статическим адресом, подключен к локальной сети, то вирус находит остальные ПК.

По поводу версии SMBv2 немного сложнее, об этом здесь: ссылка
Поэтому обязательно ставьте обновления MS17-010, ссылки в посту от regist: #4
Для защиты от данного вируса, внутри системы, используйте ПО в посту: #168

----------------------------------------------------------------------------------------------------------------
Информация взята из источников: #1 #2 #3
 
Последнее редактирование модератором:
mike 1, лучше установить обновление, об этом ниже:
p.s. в новой версии добавлю ссылки на обновления

По поводу версии SMBv2 немного сложнее, об этом здесь: ссылка
Поэтому обязательно ставьте обновления MS17-010, ссылки в посте: #4
Для защиты от данного вируса, внутри системы, используйте ПО в посте: #168
 
Последнее редактирование:
Тут коллега спрашивает, можно каменты по этому поводу?
> Юра (09:56:02 16/05/2017)
> нет сразу выдает сообщение "для установки фикс ран требуется активное подключение к интернету, пожалуйста проверьте настройки прокси-сервера и конфигурации сети
> Юра (09:57:00 16/05/2017)
> любой установщик который я скачивал так ругается, что апрельский что сегодняшний
 
HotBeer, пусть пока использует бета версию: Папка из Облака Mail.Ru (FixRunSetup)
Все, что в ней требуется это NetFramework 3.5 и выше.

В старых версиях использовалась проверка серийного номера, поэтому добавлялась функция (если нет интернета, не производить установку).
В программе Advanced Installer она называется Active Internet Connection.
 
Информация по защите от новых видов шифровальщиков: Cybereason Detects and Stops NotPetya Ransomware
Или просто установите защиту: Загрузить

Для того, чтобы блокировать угрозу, нужно нажимать на кнопку "YES":

002.png
 
у какого-то производителя антивирусного ПО есть бесплатное ПО, следящее за изменой файлов. либо symantec либо trend micro

Лучшая защита в корпоративном, вовремя установленное обновления ПО от microsoft (включая офис пакеты, я считаю, что устанавливать сервис паки достаточно, если макросы не включены то большинство не пройдёт), WSUS регулярный бекап,(лучше на кассету LTO5-6) + включённое теневое копировани, + правильно настроенный брандмауэр на сервере, запрет скачивания exe, никому администраторских привилегий не давать, (закрыть как минимум порты), и applocker. что касается централизованного антивируса, разве что Symantec Endpoint. + правильно настроенный почтовый сервер, MDaemon к примеру, не скачивать файлы, блокировать спам, иметь белый ip, не занесенный в списки. ну и наконец applocker.
 
Добрый день!В папке Fix Security>Quarantine,появился (файл infected).Что с ним делать и как удалить(если нужно)?Спасибо!
 
Назад
Сверху Снизу