FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

[Кирилл]

Vitokhv, приложение может делать бэкап изменяемых данных реестра?
Или может выложить твик в теме?
Сегодня столкнулся с таким:
Понадобилось отключить некоторые опции,т.к. это возможно только через переустановку - деинсталлировал.
Но антивирус не дал внести данные в реестр!
В итоге танцы с бубнами.
И еще вопрос: вместо пункта меню запустить (скрипт) имеется сохранить.
Но как быть если надо от имени администратора?

 

[Vitokhv]

Kиpилл, в бэта версии не нужна переустановка (после скачивания в свойствах файла нажать кнопку "Разблокировать"): Папка из Облака Mail.Ru или RELEASE
Чтобы запустить скрипт, в бэта версии убираете галку с нужного расширения, и нажимаете применить.
Возможности запустить скрипты через контекстное меню, скрыты, за это отвечает раздел: HKEY_CLASSES_ROOT\расширение\shell\runas и ключ: LegacyDisable
Где LegacyDisable скрывает в контекстном меню строку "Запустить от имени Администратора" если этого ключа нет, то строка отображается.
Это сделано для защиты от самого себя (в большей степени касается бухгалтеров), или когда передают файл другим, чтобы те попытались открыть на другом ПК.
Для того, чтобы антивирус разрешал, нужен сертификат, чтобы по нему Антивирусные компании могли ориентироваться. Пока этого нет.

 

[sumerk]

Добрый день!
Подскажите, как раскатать этот фикс в домене AD?

 

[Vitokhv]

sumerk, все зависит от того, какой метод изменения реестра в домене Вы используете. Раскатать фикс в домене можно, но управлять им будет проблемой. Для таких задач хорошо подходит клиент-серверное приложение, но задачи такого уровня сложно реализовать. Ключевое изменение для фикса находится здесь: HKEY_CLASSES_ROOT\расширение
И для подстраховки используется SRP, опять же через реестр, в домене лучше вручную вносить правила в "Политики ограниченного использования программ". В политике SRP все зависит от того какой метод защиты используется, белый или черный список. Фикс использует черный список "Неограниченный", где запрещено только то, что есть в правилах. Многие администраторы используют белый список "Запрещено", где любая устанавливаемая программа или запускаемый скрипт, требует права администратора.



Более простой вариант, ассоциировать расширения:

@echo off
rem assoc .js=jsfile assoc .js=txtfile
rem assoc .jse=jsefile assoc .jse=txtfile
и т.д.

Минус в таком варианте, в том, что остаются возможности запуска в контекстном меню "Запуск от имени администратора" и прочие...
Это можно поправить если внести ключ реестра "LegacyDisable" в нужные разделы для расширений.

 

[Dragokas]

Vitokhv, какая совместимость у программы и требования для установки?

Если есть какие-то ограничения, просьба написать это на главной странице ресурса.

Запуск на XP:

На всех системах ошибка.

Файл криво закачался на сервер?
А в истории версий почему то других версий нету
Разобрался, там повреждён манифест, но ещё и проверка на CRC стоит.

 

[Vitokhv]

Dragokas, спасибо, перезалью файл.

Прямая ссылка на файл: FixRun.exe (версия 2.5.0)
SHA1 5D1C8D7826BDBE279A5EC63BCE78A9915506A15A

 

[akok]

Пользователь akok обновил ресурс FixRun (FixSecurity) - защита от шифровальщиков новой записью:

Замена поврежденной версии

Замена файла после сбоя в ресурсах

Узнать больше об этом обновлении...

 

[Vitokhv]

Кто может выложить обновления MS17-010, чтобы не скачивать через официальные источники нажимая кучу ссылок?
Для защиты от данного вируса, есть зарубежное ПО, которое, судя по тестам блокирует WannaCry (ссылка)
Возможно это ПО может помешать в установке некоторых программ, но есть отключение защиты на 1 час.
Наглядный пример тестирования:

 

[regist]

Vitokhv, вот тут выложил прямые ссылки.

 

[Vitokhv]

Устаревший протокол SMBv1 использует поддержку Windows XP для обмена файлами.
Поэтому на всех версиях Windows осталась поддержка данного протокола.
Чтобы заблокировать протокол SMBv1, необходимо внести изменения в реестр (официальная страница):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"SMB1"=dword:00000000

Так же, не забывайте, что уязвимость в SMBv1 протоколе работает через 445 порт.
Блокировать данный порт нужно, не на самом ПК, а на сетевых устройствах, смотрящие в интернет.
Иначе, Вы не сможете обмениваться файлами внутри локальной сети, и пользоваться сетевыми МФУ.
Проверить Ваш порт можно по ссылке сервиса 2IP: Проверка порта

Заражаются только те компьютеры, которые напрямую подключены к интернету (без NAT).
Но если главный сервер со статическим адресом, подключен к локальной сети, то вирус находит остальные ПК.

По поводу версии SMBv2 немного сложнее, об этом здесь: ссылка
Поэтому обязательно ставьте обновления MS17-010, ссылки в посту от regist: #4
Для защиты от данного вируса, внутри системы, используйте ПО в посту: #168

----------------------------------------------------------------------------------------------------------------
Информация взята из источников: #1 #2 #3

 

[mike 1]

Vitokhv, может в FixSecurity добавить этот твик?

 

[Vitokhv]

mike 1, лучше установить обновление, об этом ниже:
p.s. в новой версии добавлю ссылки на обновления

По поводу версии SMBv2 немного сложнее, об этом здесь: ссылка
Поэтому обязательно ставьте обновления MS17-010, ссылки в посте: #4
Для защиты от данного вируса, внутри системы, используйте ПО в посте: #168

 

[HotBeer]

Тут коллега спрашивает, можно каменты по этому поводу?

> Юра (09:56:02 16/05/2017)
> нет сразу выдает сообщение "для установки фикс ран требуется активное подключение к интернету, пожалуйста проверьте настройки прокси-сервера и конфигурации сети
> Юра (09:57:00 16/05/2017)
> любой установщик который я скачивал так ругается, что апрельский что сегодняшний

 

[regist]

может в FixSecurity добавить этот твик?

надо систему обновлять - латать, а не отломывать её функционал вместо того чтобы залать дыры.

 

[Vitokhv]

HotBeer, пусть пока использует бета версию: Папка из Облака Mail.Ru (FixRunSetup)
Все, что в ней требуется это NetFramework 3.5 и выше.

В старых версиях использовалась проверка серийного номера, поэтому добавлялась функция (если нет интернета, не производить установку).
В программе Advanced Installer она называется Active Internet Connection.

 

[Vitokhv]

Спойлер: Видео

Информация по защите от новых видов шифровальщиков: Cybereason Detects and Stops NotPetya Ransomware
Или просто установите защиту: Загрузить

Для того, чтобы блокировать угрозу, нужно нажимать на кнопку "YES":

 

[Alien]

у какого-то производителя антивирусного ПО есть бесплатное ПО, следящее за изменой файлов. либо symantec либо trend micro

Лучшая защита в корпоративном, вовремя установленное обновления ПО от microsoft (включая офис пакеты, я считаю, что устанавливать сервис паки достаточно, если макросы не включены то большинство не пройдёт), WSUS регулярный бекап,(лучше на кассету LTO5-6) + включённое теневое копировани, + правильно настроенный брандмауэр на сервере, запрет скачивания exe, никому администраторских привилегий не давать, (закрыть как минимум порты), и applocker. что касается централизованного антивируса, разве что Symantec Endpoint. + правильно настроенный почтовый сервер, MDaemon к примеру, не скачивать файлы, блокировать спам, иметь белый ip, не занесенный в списки. ну и наконец applocker.

 

[Oleksa]

Добрый день!В папке Fix Security>Quarantine,появился (файл infected).Что с ним делать и как удалить(если нужно)?Спасибо!

 

[akok]

Пожалуйста не грузите потенциально вредоносное ПО во вложения.

 

[Oleksa]

Что с ним делать и как удалить?