FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

[Vitokhv]

Dragokas
Я учитываю потребности в дополнительных опциях, сейчас основная задача привязать Windows XP к папке %TEMP%

Если пишем в меню "Выполнить": %TEMP% попадаем в папку C:\DOCUME~1\9335~1\LOCALS~1\Temp
Если пишем в меню "Выполнить": %USERPROFILE%\Local Settings\Temp попадаем в папку C:\Documents and Settings\Администратор\Local Settings\Temp

В итоге:
Если указать в SRP путь: %TEMP%\zip*\ работать не будет (Windows XP), но на Windows 7 работает, т.к. папка без пробелов и сокращений с тильдой.
Если указать в SRP путь: %USERPROFILE%\Local Settings\Temp\zip*\ все прекрасно работает.

Исправил кавычки "%1", как добавлю расширение *.ps1 и опцию полного отключения скриптов, обновлю файл, но на Windows XP пока не будет работать по SRP из за %TEMP%

 

[Dragokas]

Ну о чём я и говорил, что с форматом 8.3. будут проблемы.
А разве нельзя указать оба правила?

 

[Vitokhv]

Тогда нужно проверить, чтобы блокировка работала на любых пользователях в системе, с разными временными папками:

А если у меня Temp = d:\temp то что будет?
А если на компьютере два пользователя и
1. у одного TEMP стандартный, а у другого нестандартный
2. У обоих TEMP нестандартный.
Что будет в этих случаях?

Насчет *.ps1 нужен кусок ветки реестра, на Windows XP и 7 его нет по умолчанию.
HKEY_CLASSES_ROOT\psfile или HKEY_CLASSES_ROOT\ps1file

 

[Dragokas]

Тогда Вам придётся прочитать имена каталогов внутри C:\documents and settings и подставлять каждый для ...\Local Settings\Temp\zip*\ (XP), ...\AppData\Local\Temp (Vista+) (не знаю, способен ли на это скриптовый язык Advanced Installer-а).
При этом, если какой-то из пользователей поменял только для себя расположение папки Temp, то Вы это никак не узнаете, т.к. кусты реестра других пользователей будут выгружены, если они не залогинены и подсмотреть этот путь неоткуда.

Насчет *.ps1 нужен кусок ветки реестра, на Windows XP и 7 его нет по умолчанию.

На голой Win7 - нету. Если обновленная, то там PowerShell идёт в числе обновлений и вносит записи в .ps1. Экспорты приложил. Пути там не такие, как Вы написали.

 

[Vitokhv]

*.ps1 вроде не выполняется если его открыть, установлена команда редактирования в блокноте:

[HKEY_CLASSES_ROOT\Microsoft.PowerShellScript.1\Shell\Open\Command]
"C:\Windows\System32\notepad.exe" "%1"

 

[Vitokhv]

Обновил релиз: RELEASE

Добавлено:
- расширение *.ps1 (если раздел реестра [HKEY_CLASSES_ROOT\Microsoft.PowerShellScript.1] существует, производится фикс расширения)

Спойлер: reg

Срыты два контекстных меню, и заменены на "Сохранить" (двойной клик по файлу с расширение *.sh1 отправит файл в карантин)

;Спрятать пункт "Открыть" в контекстном меню
[HKEY_CLASSES_ROOT\Microsoft.PowerShellScript.1\Shell\Open]
"LegacyDisable"=""

;Спрятать пункт "Выполнить с помощью PowerShell" в контекстном меню
[HKEY_CLASSES_ROOT\Microsoft.PowerShellScript.1\Shell\0]
"LegacyDisable"=""

- добавлено отключение скриптов для системы или пользователя

Спойлер: reg

Система:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

Пользователь:
[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

Исправлено:
- для Windows XP правила SRP в двух видах: %TEMP% и %USERPROFILE%\Local Settings\Temp

Установлены опции:
- запуск установщика от имени Администратора

 

[Dragokas]

Обновил релиз

Kaspersky Hoax.Win32.ArchSMS.cogxw

Antivirus scan for 560013760e15953b03a7849937d66c3d0068c6cbdbcca2d4fc790c9573f1c0bd at 2016-07-08 17:03:56 UTC - VirusTotal
Пожалуйста, позаботьтесь о снятии детекта Kaspersky, после чего напишите мне ЛС и я восстановлю активную ссылку.
_________
На счёт ps1 раз уж он все равно запускается блокнотом, то скорее всего не имеет смысла заменять глагол для него.
А вот заблокировать Powershell по полному пути к исполняемому файлу имеет смысл. Раз уж Вы решились сделать это для WSH, то может сделаете опционально и этот вариант?

 

[грум]

А как отключать fix если надо что-то установить. Удалять а потом опять устанавливать?

 

[Dragokas]

грум, там защита от запуска программ только из архивов. Достаточно распаковать и запустить установщик как обычно.
Ну а если установщик написан на BAT / VBS / JS ... (как множество моих, например), то здесь уже вопрос к автору...
Vitokhv, кстати, а защита от запуска программ из папки "Загрузки" и темпа организована?

 

[грум]

Я хотел создать лайв сд. Запускаю конструктор и ничего. Неудобно как-то если удалять надо. Может выключатель какой-нибудь сделать.

 

[Severnyj]

Кстати странно, конструктор не использует совсем переменных временных файлов, все временные файлы создаются в собственной директории: %Systemdrive%\tmp_pe\ , которая после создания лайва чистится

 

[mike 1]

Пожалуйста, позаботьтесь о снятии детекта Kaspersky, после чего напишите мне ЛС и я восстановлю активную ссылку.

Отправил запрос на снятие детекта.

 

[Vitokhv]

@Dragokas

@Vitokhv, кстати, а защита от запуска программ из папки "Загрузки" и темпа организована?

Не важно в какой папке будет архив, при открытии архива, он системно распаковывается в %TEMP% в своей папке, и все запущенные файлы внутри архиватора работают именно через %TEMP% где SRP их и блокирует.
Уточню, что защита по SRP только архивов, запуск исполняемых файлов *.exe в чистом виде не блокируется.
Насчет Касперского опять письмо писать, если бы я знал какая функция ему не нравится, что он ее принимает как SMS отправку, исправил бы.
Недавно уже им писал:

Спойлер: mail

Kaspersky Lab Support
3 июл. (6 дн. назад)
Здравствуйте!
Это было ошибочное срабатывание. Оно будет исправлено. Благодарим Вас за помощь.
Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 7 дней, запрос будет расценён как решённый или не требующий ответа.
С уважением,
Служба Технической Поддержки
АО "Лаборатория Касперского"

Если есть шаблон реестра для отключения Powershell то добавлю.

 

[Dragokas]

Не важно в какой папке будет архив, при открытии архива, он системно распаковывается в %TEMP% в своей папке, и все запущенные файлы внутри архиватора работают именно через %TEMP% где SRP их и блокирует.

Мой вопрос касался только исполняемых файлов, т.к. это тоже защита от случайных кликов. Пользователь скачивает из вложения подозрительный файл (не все почтовые провайдеры имеют встроенную защиту от отправки/приёма EXE и всё, что к нему приравнивается) и затем кликает в самом же браузере на скачанный файл. Приведу простой пример. Пользователю обманным путём дают ссылку на EXE под видом Word-а, значёк тот же, расширение doc.exe. Имя может быть и длинным, так что расширения можно сразу не увидеть в браузере, т.к. он его сокращает. По-умолчанию, обычно файл сохраняется в папку "Загрузки". Заражения можно было бы избежать, если заблокировать популярный места случайного запуска вот таких файлов. Тогда пользователь перейдет в папку Загрузки, а там уже увидит, что это обманка.

Если есть шаблон реестра для отключения Powershell то добавлю.

Думаю, что это делается как-то через SRP/AppLocker. Я особо не вникал в эту тему. Такого отдельного ключа как с WSH нету.

И да, механизма временного снятия всей защиты явно не хватает.

 

[mike 1]

Отправил запрос на снятие детекта.

Детект сняли.

 

[грум]

Если удалять программу через Revo Uninstaller то под раздачу попадает 7 zip.
Если не посмотреть что удаляется, то 7 zip удалиться.

 

[Vitokhv]

@Dragokas
В организациях я добавляю такие пути вручную:

Спойлер: txt

Win7
%UserUrofile%\YandexDisk
%UserProfile%\Dropbox\
%UserProfile%\Downloads\
%UserProfile%\Documents\
%UserProfile%\Pictures\
%UserProfile%\Music\
%UserProfile%\Videos\

WinXP-Пользователь:
%UserProfile%\Мои документы\
%UserProfile%\Документы\Мои видеозаписи\
%UserProfile%\Мои документы\Моя музыка\
%UserProfile%\Мои документы\Мои рисунки\

WinXP-Пользователи:
%AllUsersProfile%\Документы\
%AllUsersProfile%\Документы\Мои видеозаписи\
%AllUsersProfile%\Документы\Моя музыка\
%AllUsersProfile%\Документы\Мои рисунки\

Остальное:
%UserProfile%\Documents\My Received Files\
%AppData%\Skype\*\media_messaging\media_cache_v2\
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook\
%LocalAppData%\Microsoft\Windows\Temporary Internet Files\Content.IE5\
\\*\
*:\autorun.inf

Думаю лучше всего найти временные пути для почтовиков, и браузеров, чем блокировать почти везде.

 

[andrew75]

Ну что, наконец-то на моей системе с нестандартным temp-ом запуск .exe файлов из архивов стал блокироваться
А что, .cmd и .bat из архивов теперь открываются в блокноте?

Мне кажется вы зря начали расширять функциональность.
Во-первых требуется серьезное тестирование, а во-вторых все равно от всего не защитишься.

Решение изначально позиционировалось для защиты "секретарш", если я правильно понял.
И основные угрозы в этом сегменте оно перекрывает.

 

[Vitokhv]

Нужно убедиться, что в shell установлено значение zip (если в нем значение edit то открывается блокнот)

[HKEY_CLASSES_ROOT\batfile\shell]
@="zip"

Ветка реестра нужна HKEY_CLASSES_ROOT\batfile можно глянуть, что не так.
У себя проверил, все работает.

 

[andrew75]

Вечером посмотрю.
В предыдущих версиях такого не было. То есть .cmd и .bat из архивов именно блокировались.