Пока в стадии бетаЦитата |
---|
--------------------------------------------------------- 2.00 --------------------------------------------------------- o Добавлены дополнительные функции повышающие уровень защиты от повреждения и утечки данных: o История запуска процессов с момента старта системы. o Защита от внедрения потоков в процессы, в т.ч. и опциональная активная защита, прерывающая внедрение потока на этапе его создания с информированием о процессе. (!) Не рекомендуется использовать эту функцию в Windows 7. o Добавлены параметры процессов. Процессам можно запрещать запуск, разрешать внедрение потоков или включить информирование при запуске конкретного процесса. (например cmd.exe, что часто является признаком активности зловреда) o Установка прав доступа к каталогам (например для защиты файлов от шифровальщиков или утечки данных). В том числе можно разграничить права доступа на уровне приложений. Поддерживается настраиваемый лог операций для каждого каталога. o Защита каталогов приложений от модификации сторонними приложениями. o Защита файла драйвера, усилена защита файла фильтров. o Защита параметров запуска служб BFE, FltMgr. o Защита от запуска svchost зловредами. o Защита настроек паролем. (!) О влиянии новых функций на производительность см. readme, по умолчанию все доп. функции (!) влияющие на производительность отключены. Для их активации перейдите в окно настройки, после (!) чего потребуется перезагрузить компьютер.
o Драйвер Ф теперь загружается раньше, до старта BFE.
o Добавлена функция сохранения и восстановления настроек, в т.ч. можно переносить все настройки на другой компьютер. (кроме наименования и размера шрифта, которые хранятся в F.ini).
o Исправлена ошибка первоначальной регистрации фильтров в новой системе. |
----------------
Для тестирования были использованы каталог с тестовыми файлами, каталог запуска фаервола и каталог запуска uVS. В предыдущем тесте Lockbit v3 шифровал все файлы в каталоге uVS за исключением исполняемых *.exe и это приводило к завершению контрольного процесса uVS.
Настройка защиты каталогов достаточно удобна. Можно запретить запись (или доступ) в данный каталог, и предоставить различные права доступа для определенных процессов, или полный доступ для приложения, которое запускается из данного каталога.
По результату нового запуска сэмпла Lockbit v3 были зашифрованы файлы во всех каталогах, за исключением защищенных. При этом после самоудаления сэмпла процессы uVS и Ф продолжали работать и зафиксировали в логах запуск процесса шифрования, все безрезультатные попытки добавить записку о выкупе, и перезаписи оригинальных файлов зашифрованными копиями.
Проверил сегодня защиту каталогов дополнительно на сэмплах crysis(*onion), FONIX(*RYUK), Crylock v2, Conti(*RUSSIA), LokiLocker, aesni_april
Никому не удалось прорваться в защищенные каталоги. (Lockbit делал 6 попыток записи файлов, Crylock - дважды)
А комбинация uVS+Fv очень удачная для наблюдения за поведением шифровальщика. FV фиксирует сетевую активность всех процессов. Интересно было наблюдать за поведением AES_NI (*aes_ni_0day). После запуска сэмпл самоудалился, но при этом запустил системный svchost.exe из SysWOW64, внедрил в него несколько потоков, svchost.exe попытался выйти во внешнюю сеть.
Далее шифрование пошло из под процесса SysWOW64\svchost.exe, После завершения шифрования процесс SysWOW64/svhost.exe остается активным. Т.е. все добавленные новые файлы будут зашифрованы. Перед расшифровкой файлов (для AES_NI есть универсальный дешифратор) через uVS заморозил все потоки. Шифрование новых файлов прекратилось.
Update: В настройках фаервола добавилась блокировка запуска svchost.exe вредоносами, "aes_ni_april" при этом изменил свое поведение: не смог запустить процесс SysWOW64\svchost.exe, чтобы добавить в него вредоносные потоки шифровальщика, процесс "aes_ni" сохранился, в него были добавлены потоки, шифрование продолжилось, но защищенные каталоги не были затронуты шифрованием.