Защита от шифровальщиков

RSS
Представляю Вам утилиту для офисных пользователей, для защиты от шифрования данных.
Как известно, большая часть шифровальщиков распространяется через электронную почту.
Назначение этой утилиты - блокировка исполняемых файлов от случайного запуска неопытными пользователями.

Функции защиты:
1) Защита от известных исполняемых файлов, которые вместо обычного запуска попадают в карантин
2) Опция включения встроенной защиты в WinRAR архиваторе, которая позволяет блокировать все известные исполняемые файлы
3) Защита правилами SRP, которые позволяют блокировать все известные исполняемые файлы внутри архивов

Дополнительные опции:
- полное отключение скриптов для пользователя или для системы
- включение отображения расширений файлов (типы файлов)



Утилита бесплатная, а так же имеется онлайн чат, для отправки карантина на проверку.
http://safezone.cc/resources/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.196/
Изменено: Vitokhv - 27.07.2018 16:16:27

Ответы

Думаю, проще сделать кнопки отключения включения защиты архивов, т.е. правил SRP в отдельном приложении.
Цитата
mike 1 написал:
Цитата
Что делать юзеру?
Ничего не делать, т.к. программы установятся нормально. Можешь проверить на виртуалке.
Цитата
пока я не научил пользоваться Cryptoprevent-ом
Это не очень надежное решение.
mike_1,
в данном случае в Cryptoprevent они используют  только функцию alert - view event log, это проще, чем использовать журнал событий, хотя CP думаю, формирует свои логи именно из журнала событий.



по поводу надежности: все зависит от того какие правила будут созданы.
Минус в бесплатной версии в том, что нельзя редактировать (через интерфейс программы) уже созданную политику.
Второй минус в том, что они что-то долго тянут с беткой 8 версии. Уже второй год пошел.
Изменено: santy - 12.07.2016 04:39:45
Цитата
RP55 RP55 написал:
FireFox создает временную папку в %TEMP%\7z*
Как думаете, насколько замедлится система если использовать сертификаты?
И имеет ли смысл их использовать для одобрения известного ПО

Как мне кажется, используя неограниченный режим, сертификаты проверяются индивидуально, без нагрузки на систему:

Вы - разработчик, вам решать данную проблему.
я всего лишь говорю, о том с чем столкнулся на практике. Что правило, которое запрещает запуск исполняемого exe из архива 7z блокирует установку Firefox, Thunderbird

Цитата
SUSPICIOUS APPLICATION BLOCKED

Доступ к C:\DOCUME~1\****\LOCALS~1\Temp\7zS1026.tmp\setup.exe был ограничен Администратором по расположению правилом политики {a13b77f7-3d74-43be-8d4b-0c76e9de9963}, расположенной в C:\Documents and Settings\****\Local Settings\Temp\7z*\*.exe

поскольку может быть создано порядка сотни правил, то есть необходимость оперативно найти то правило, которое выполняет блокировку полезной программы.
отсюда я делаю вывод о необходимости логов. (как это сделано в Криптопревент)
вот кстати, скрипншоты будущей 8 версии Криптопревента.



Читают тему (гостей: 2)