FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Нет прав для скачивания
Потестил вчера на реальной машине на базе Windows 10 x64. Заметил следующее:

1. Если ставить программу из под ограниченной учетной записи, то после установки и перезагрузки почему-то не работают правила только для файлов с расширением *.js. Если запускать файлы из архивов, то защита для *.js и других расширений работает.

2. Если ставить программу из под учетной записи администратора, то все работает как надо.
 
Ну вот, хотел потестировать...
При установке говорит - "Не удалось проверить серийный номер" и ставиться отказывается.
 
andrew75, в качестве серийного номера вводите 0000-0000-0000-0000? Соединение с интернетом активно?
да, 16 нулей, с интернетом все нормально.
Стоит корпоративный DrWeb, но файервол не установлен.
Единственно может превентивка что-то блокирует.

Нет, отключал превентивку, ничего не изменилось.
На какой адрес он должен коннектиться?
SpiderGate блокирует этот запрос оказывается.
А превентивка не дает менять параметры реестра :)
Отключил.
 
Последнее редактирование:
Нет, это не хостинг - это DrWeb блокирует.

Windows 7 professional 64 bit - все работает

А как насчет того, чтобы сделать отключение отправки карантина через ключ командной строки при установке?
Я тут где-то прочитал, что если PolicyScope=1, то правила будут действовать для всех пользователей кроме администратора. Но тест этого не подтверждает.
 
Последнее редактирование:
На Windows XP в настройках SRP заметил не достающие расширения (по умолчанию):
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

На Windows 7(x64) они такие же как на XP, но только при создании политики (по умолчанию этого параметра в реестре нет):
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

На Windows 8.1(x64) они такие же как на XP, но только при создании политики (по умолчанию этого параметра в реестре нет):
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

На Windows 10(x64) они такие же как на XP, но только при создании политики (по умолчанию этого параметра в реестре нет):
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC

На сайте Microsoft выписаны в таблице такие расширения:
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP JS JSE LNK MDB MDE MSC MSI MSP MST PCD PIF REG SCR SCT SHS URL VB VBE VBS WSC WSF WSH


Переделаю установку правил SRP:
- исправление отсутствующего раздела "CodeIdentifiers" > "0" в версиях Windows 7 и выше (из за этого не прописывались правила)
- если параметр AuthenticodeEnabled больше значения 0x00000000 (0) то наложение правил отменится как и включение защиты
- если параметр PolicyScope больше значения 0x00000000 (0) то наложение правил отменится как и включение защиты
- если параметр DefaultLevel меньше значения 0x00040000 (262144) то наложение правил отменится как и включение защиты
- если параметр TransparentEnabled меньше значения 0x00000001 (1) или больше значения 0x00000001 (1) то наложение правил отменится как и включение защиты
 
Koza Nozdri,
Только поддержка.
Код для того, чтобы использовали онлайн чат, когда он сменится (это пока не скоро будет).

Time,
Лучше та, правил больше, но с ними нужно понимать, что не будет работать.
Например программу которая использует %LocalAppData%\Temp\*.exe не смогут установить.
Думаю тонкая настройка в этом поможет, но в этом нужно разбираться.
===========================================================
Этот фикс защищает только от курсора мышки, от тех кто не понимает, что он открывает.


На данный момент, фикс дорабатывается, чтобы все работало.
Задержка может еще на пару дней.
 
andrew75,
Добавлять опцию отключения нельзя, так как это основная причина создания фикса, поддержки онлайн чата и аналитиков антивирусных компаний.
Если планировщик не станет отправлять файлы карантина потеряется смысл в анализе новых угроз.
А как вы себе представляете онлайн поддержку?
Ее функции и кто вообще этим будет заниматься?
Это например имело бы смысл для быстрого реагирования на новые вирусные рассылки.
Но только при очень оперативном реагировании.
Вы всерьез считаете, что энтузиасты это потянут, причем на безвозмездной основе?
Судя по оперативности ваших ответов в теме, вы этим точно не сможете заниматься.

При том что сама идея "фикса", как вы это называете очень неплохая, идея онлайн поддержки мне кажется утопической.
 
Онлайн чат позволит отправлять файлы вручную, если пользователь побоится запустить файл, отправит в чат, где ему подскажут - содержит ли он вредоносный код.
Сначала это будет virustotal затем виртуальная машина, а если не то не другое, тогда отправка антивирусным аналитикам, с получением такого ответа:
newvirus@kaspersky.com
Здравствуйте,
This is not a false positive. The file is infected.
С уважением, антивирусная лаборатория
 
У кого будет желание, проверьте фикс: FixRun.exe — RGhost — файлообменник

screenshot_12.png


- отправлять файл карантина (создает файлы и задание, которые позволяют отправлять файл Карантина на Яндекс диск, для анализа угроз)
- защита архивов правилами SRP (теперь, если параметры SRP отличаются, правила не установятся)
- отображать все типы файлов (отображение расширений всех типов файлов: *.doc *.xls *.jpg и т.д.)
- защита WinRar (если архиватор установлен, включается встроенная защита внутри архиватора)
 
Не совсем понял про "защиту архивов правилами SPR".
Если параметры SPR отличаются от чего? Можно поподробнее?
Windows 7 x64 HP - ошибка при установке:
fix.jpg
Все понятно, надо запускать от имени администратора.
Напишите потом об этом где-нибудь.
У меня на машине как и раньше .exe файлы из архивов запускаются. Но это видимо не показатель. Остальное вроде работает.
Завтра попробую где-нибудь еще проверить.
 
Уже описывал выше новое поведение для правил SRP:
- если параметр AuthenticodeEnabled больше значения 0x00000000 (0) то наложение правил отменится как и включение защиты
- если параметр PolicyScope больше значения 0x00000000 (0) то наложение правил отменится как и включение защиты
- если параметр DefaultLevel меньше значения 0x00040000 (262144) то наложение правил отменится как и включение защиты
- если параметр TransparentEnabled меньше значения 0x00000001 (1) или больше значения 0x00000001 (1) то наложение правил отменится как и включение защиты

AuthenticodeEnabled = 0 означает не использование сертификатов
TransparentEnabled = 1 означает усиление политик (0 - нет усиления, 1 - все файлы, кроме DLL, 2 - все файлы, включая DLL)
PolicyScope = 0 применение политик к пользователям (0 - ко всем пользователям, 1 - ко всем, кроме администраторов)
DefaultLevel = 40000 включение черных или белых списков правил (40000 - черный список; 0 - белый список)


При запуске от админа, у меня такая же ошибка на Win7x64 (такого быть не должно), пересоберу пакет с нуля.
Проверял на Win10x64 и WinXP такой ошибки не было.
Пересобрал по шаблону, ошибки при запуске от имени админа нет: FixRun.exe — RGhost — файлообменник
По поводу запуска .exe в архивах, экспортируй раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

Посмотрим, создаются ли правила.
 
Я правильно понял, что если значения указанных ключей отдичаются от дефоултных (что видимо означает, что уже установлены какие-то значения политик), то фикс эти значения не меняет и следовательно защита правилами SRP не включится?

Новую сборку попробую сегодня позже.
 
Я правильно понял, что если значения указанных ключей отдичаются от дефоултных (что видимо означает, что уже установлены какие-то значения политик), то фикс эти значения не меняет и следовательно защита правилами SRP не включится?
Да.
 
Win XP x32 SP3 Prof
Проверял на 3-х типах файлов - .exe, .cmd, .bat
После установки фикса запуск .cmd и .bat блокируется. Запуск .cmd и .bat из архива также блокируется (защиту winrar не устанавливал).
.exe файл из архива запускается.
Соответствующая ветка реестра во вложении.

После удаления фикса ключи в корне ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
НЕ удаляются.
Но при этом .cmd и .bat из архива запускаются.
 

Вложения

  • 2.reg
    14.5 KB · Просмотры: 2
Последнее редактирование:
Назад
Сверху Снизу