FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Нет прав для скачивания

mike 1

Ветеран
Сообщения
2,331
Реакции
753
Пользователь Vitokhv разместил новый ресурс:

FixRun (FixSecurity) - защита от шифровальщиков - Утилита для защиты от случайного запуска исполняемых файлов

Утилита для защиты от шифрования данных, ориентирована на офисных пользователей.
Как известно, большая часть шифровальщиков распространяется через электронную почту.

Назначение этой утилиты:
Блокировка исполняемых файлов от случайного запуска неопытными пользователями.

Функции защиты:
1) Защита от известных исполняемых файлов, которые вместо обычного запуска попадают в карантин
2) Опция включения встроенной...

Узнать больше об этом ресурсе...
 
Последнее редактирование модератором:
mike 1, чем эта программа лучше AppLocker?
из минусов вижу следующее:
1. требуется установка
2. защищена ли сама программа от того что ее процесс просто выгрузят через ДЗ?
3. допустим поставили программу в корпоративной среде (или в любой другой), заблокировали запуск всех файлов, как запустить например почтового клиента? Или браузер? Даже текстовый файл открыть не получится.

Плюсов я пока не вижу.
Что подразумевается по ограниченной поддержкой exe файлов? Если их всех запретить боюсь винда не стартанет.
 
2. защищена ли сама программа от того что ее процесс просто выгрузят через ДЗ?
Программа не висит в процессах. :)

3. допустим поставили программу в корпоративной среде (или в любой другой), заблокировали запуск всех файлов, как запустить например почтового клиента? Или браузер? Даже текстовый файл открыть не получится.
Двойным кликом по файлу. Если запускать через правую кнопку мыши, то вместо "Открыть" будет "Сохранить". Под этим понимается ограниченная поддержка exe файлов.

@mike 1, чем эта программа лучше AppLocker?
На этот вопрос думаю Vitokhv ответит.
 
Последнее редактирование:
Chinaski, как раз собирался написать MiniFAQ по просьбе mike 1

Постараюсь объяснить в несколько этапов:
- это не программа, процессов нет и выгружать нечего, правильно называть фиксом
- установка требуется для того, чтобы после удаления все вернулось в исходное состояние
- блокируются только скриптовые/исполняемые файлы и только внутри архивов, через SRP
- что находится в открытом виде (например *.JS *.SCR *.WSF) отправляется в архив карантина
- желательно использовать только WinRar для защиты файлов *.EXE от распаковки из архива
- перезагрузка в основном не требуется, но желательна, так как правила SRP должны обновиться
- если организация использует домен, тогда Администратор решает включать защиту архивов или нет

Основные задачи фикса
Первая задача фикса защитить только от первого запуска, где любопытство или отключенные расширения файлов мешают увидеть угрозу.
Вторая задача, отправить файлы угроз для анализа, и в антивирусные лаборатории.
Третья задача, поддержка пользователей онлайн, если возникнут вопросы "безопасно ли вложение, или ссылка".
 
А можно узнать, какие именно политики меняет программа?
Чтобы знать, куда копать, если что-то не так будет работать.

Простому пользователю это необязательно, а вот админам это думаю необходимо.
 
Последнее редактирование:
andrew75,

screenshot_3.png
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\CodeIdentifiers]
"authenticodeenabled"=dword:00000000
"DefaultLevel"=dword:00040000
"ExecutableTypes"=hex(7):все расширения по умолчанию + WSF и WSH
"PolicyScope"=dword:00000000
"TransparentEnabled"=dword:00000001

+

GUID правила

Важно понимать, что происходит наложение правил SRP, и настроен режим черного списка, т.е. все остальное, что не в списке разрешено: "DefaultLevel"=dword:00040000 (белый список использует: dword:00000000)


Chinaski,

- блокируются только скриптовые/исполняемые файлы и только внутри архивов, через SRP
- что находится в открытом виде (например *.JS *.SCR *.WSF) отправляется в архив карантина

Батник без архива отправляется в карантин, батник внутри архива параллельно защищается политиками SRP (если убрать из списка SRP расширение *.BAT, файл внутри архива все равно будет отправлен в карантин)
Для тех кому нужны рабочие батники, могут использовать командную строку, с указанием используемого приложения и полного пути до cmd.exe
Если такой вариант Админа не устраивает, галку с нужных расширений можно убрать.
Только нужно понимать, что фикс защищает простых пользователей от ошибок, того, чего не понимают.
 
Надо бы наверное в ресурсы форума загрузить и FAQ добавить в первое сообщение.
 
А почему собственно вы без предупреждения отправляете карантин на внешний ресурс?
Причем достаточно странным способом.
Я не уверен, насколько этот способ будет нормально работать в разных случаях.
Как минимум надо спрашивать при установке, включать ли эту функцию.

Да, по первому впечатлению оно работает так как заявлено.
Но нужно описание.
И потенциально возможны проблемы с запуском различных типов файлов.
 
andrew75,
Об этом упоминается в лицензионном соглашении:
5. Предоставление информации
5.1 Пользователь подтверждает отсутствие конфиденциальной информации в копируемых данных и дает согласие на копирование и передачу информации любым способом.
5.2 Выполняя передачу файлов по открытому каналу, пользователь подтверждает, что он осознает и принимает риски несанкционированного доступа к информации во время ее передачи.
5.3 Пользователь дает согласие на использование отправленных файлов третьими лицами.
Это касается только папки карантина: %ProgramFiles%\FixSecurity\Quarantine

Для тех, кто не хочет отправлять файл карантина (возможно содержащий вредоносный код), могут отключить в планировщике задачу: IN Updater
Добавлять опцию отключения нельзя, так как это основная причина создания фикса, поддержки онлайн чата и аналитиков антивирусных компаний.
Если планировщик не станет отправлять файлы карантина потеряется смысл в анализе новых угроз.

Для нормального способа отправки нужны программисты, а пока отправляется через WebDav на ЯндексДиск
По поводу описания, создам видео обзор, после вопросов, которые еще не задавали.
 
Я правильно понимаю, что опция "Защита WinRar" включает встроенную в WinRar защиту от запуска/распаковки определенных типов файлов?

Нужен не видеообзор, а описание того, что делает программа.
В частности того, на что влияют установки защиты архивов.
И про запись/отправку карантина.
Вы пишете программу для простых пользователей, которые не понимают что такое SRP и на что это может повлиять. Поэтому надо им доступно обьяснить, чем им это поможет и как это будет работать.
Потому что те кто понимает, могут при желании эти изменения сделать руками.
andrew75,
Об этом упоминается в лицензионном соглашении:
Это касается только папки карантина: %ProgramFiles%\FixSecurity\Quarantine
У многих паранойя по поводу отправки телеметрии в Microsoft или разработчикам браузеров, а вы вводите подобную функцию, не давая возможности отключить ее штатным образом.
Да вас живьем съедят поборники приватности :Acute:

И я бы добавил фикс, отключающий настройку "Скрывать расширение для зарегистрированных типов файлов.
 
Последнее редактирование:
Двойным кликом по файлу. Если запускать через правую кнопку мыши, то вместо "Открыть" будет "Сохранить". Под этим понимается ограниченная поддержка exe файлов.
А в чем смысл?

И еще вопрос - те расширения, которые можно выбрать при установке обрабатываются каким-то особым образом? Почему именно их вы туда выносите?
 
andrew75,
Каждое выбранное расширение имеет фикс отключать скрытие расширений (он же "Скрывать расширение для зарегистрированных типов файлов").
Если раньше расширение .exe или .js не было видно, то выбрав необходимые расширения, пользователь увидит эти типы файлов.

Когда мы устанавливаем фикс, а точнее вносим изменения в реестр, выбираем расширения по которым будет работать только отправка в карантин (с защитой архивов по SRP и с защитой WinRar это не связанно).
Так же, скрывается пункт в контекстном меню "Открыть" и добавляется пункт "Сохранить" - это и есть двойное нажатие, т.е. открытие файла.
Вместо того, чтобы говорить сотрудникам не открывать странные вложения файлов, нужно убрать эту возможность.
При попытки открыть файл *.JS он копируется в карантин: %ProgramFiles%\FixSecurity\Quarantine\infected. (именно этот файл отправляется на ЯндексДиск)
К расширению файла *.EXE добавлен только пункт "Сохранить" и отключено скрытие этого расширения как тип файла (само расширение не защищено, защищают только две нижние опции).
Показываю скриншот о чем речь (то, что выделено галками):
fix1.png


Опция "Защита WinRar" использует встроенную защиту архиватора:
Win_Rar1.png


Опция "Защита архивов" защищает по политике SRP
Защита архивов необходима как параллельная защита в первую очередь от *.EXE
Если у пользователя система с админскими правами, без домена, то включить ее необходимо.
Для корпоративных пользователей Администратор сам решит включать или нет, так как происходит наложение настроек и правил.
Если в домене была включена политика SRP с белым списком, то изменится на черный список (думаю админу это не нужно).
 
Последнее редактирование:
Я правильно понимаю, что будут показываться расширения только у тех типов файлов, которые выбраны при установке?
Почему не включить показ всех расширений?
Сейчас проверил на XP Prof
.exe файл из zip архива запустился. .cmd в архиве заблокировался и записался в карантин.
У .exe файла в контекстном меню проводника остался пункт "Открыть"
У .cmd - "Открыть" пропало и запуск блокируется.
Остальные расширения не проверял.
Блокировка в настройках WinRar прописалась. (При проверке запуска файлов из архивов я ее отключал).
Задача в планировщике не создалась.
 
andrew75,
Какой сервис пак у Windows XP Professional?

Задача для Windows XP не создается, так как система не может работать с WebDav (проверяется версия Windows, если XP то пропускается установка задачи и файлов)
Настройки для WinRar не прописываются в двух случаях: первый - если опция "Защита WinRar" отключена, второй - если в реестре нет значения HKCU\SOFTWARE\WinRAR

Файл *.EXE не может быть отправлен в карантин, и не защищен, защищается только через опции "Защита WinRar" и "Защита архивов".
Так же он может быть защищен через правила поведения приложений, в некоторых антивирусных продуктах.

По поводу расширений, будут исправлены отключения опций.
По SRP правилам, пересмотрю метод наложения правил и настроек.
Добавлю опцию отображения всех типов файлов.
 
andrew75,
Какой сервис пак у Windows XP Professional?
3-й разумеется.

Задача для Windows XP не создается, так как система не может работать с WebDav (проверяется версия Windows, если XP то пропускается установка задачи и файлов)
Понятно.

Настройки для WinRar не прописываются в двух случаях: первый - если опция "Защита WinRar" отключена, второй - если в реестре нет значения HKCU\SOFTWARE\WinRAR
Да нет, с WinRar-ом как раз все нормально.

Файл *.EXE не может быть отправлен в карантин, и не защищен, защищается только через опции "Защита WinRar" и "Защита архивов".
Так же он может быть защищен через правила поведения приложений, в некоторых антивирусных продуктах.
Ну так правильно, "Защита архивов" и должна была работать с .exe файлами, но не работала.
Хотя прекрасно работала с .cmd

Я сейчас проверил на 7-ке (домашняя расширенная) - защита архивов для .exe файлов там тоже не работает.
Хотя те правила групповой политики, которые вы мне привели на скриншоте в 1-м спойлере прекрасно блокируют запуск .exe файлов из архивов - я это сам проверял.
Надо с этим разбираться.
И еще, применительно к Win7 HP - при попытке запуска .cmd из архива не выдается сообщение о том, что это действие запрещено групповой политикой (как это видно на видео у mike1 и как это должно быть при срабатывании правила SRP).

В связи с этим вопрос к mike 1 - у вас на виртуалке Windows 7 professional как минимум, правильно я понимаю?
 
Последнее редактирование:
То что 64-х разрядная, думаю не важно.
У меня тоже 64-х разрядная кстати.
Тогда я не понимаю, почему у меня не так работает.

А вот на виртуалке у меня на 32-х разрядной Windows 7 professional .exe файл из архива не запустился.
Зато .cmd из архива открылся в блокноте.
Чего-то я не понимаю.
 
Последнее редактирование:
Назад
Сверху Снизу