Защита от шифровальщиков

Представляю Вам утилиту для офисных пользователей, для защиты от шифрования данных.
Как известно, большая часть шифровальщиков распространяется через электронную почту.
Назначение этой утилиты - блокировка исполняемых файлов от случайного запуска неопытными пользователями.

Функции защиты:
1) Защита от известных исполняемых файлов, которые вместо обычного запуска попадают в карантин
2) Опция включения встроенной защиты в WinRAR архиваторе, которая позволяет блокировать все известные исполняемые файлы
3) Защита правилами SRP, которые позволяют блокировать все известные исполняемые файлы внутри архивов

Дополнительные опции:
- полное отключение скриптов для пользователя или для системы
- включение отображения расширений файлов (типы файлов)



Утилита бесплатная, а так же имеется онлайн чат, для отправки карантина на проверку.
http://safezone.cc/resources/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.196/

Привет, Виктор.
о каком карантине здесь идет речь?
видимо предполагается неизвестные исполняемые...

Путь в карантин: C:\Program Files\FixSecurity\Quarantine
Создается архив с именем infected и тем же паролем

Каждое выбранное в утилите расширение, обрабатывается командой в реестре.
Формат расширений: *.bat *.cmd и т.д.

как минимум нужны логи для того чтобы проверять какое правило блокирует установку/или запуск полезной программы.
скажем, запрет на запуск из архивов *.exe приводит к тому, что такие программы как Firefox, Thunderbird (и другие, которые в темп распаковывают свои модули в архивах) не будут установлены, а будут заблокированы. (Иначе, техподдержка, снесет под корень такую программу.)

лично меня устраивает полностью Cryptoprevent, но начинание думаю полезное, со временем отшлифуется программа.

кроме того  сейчас есть возможность добавить политики (ключ safer) непосредственно из uVS одним скриптом.

Сами *.exe не блокируются. Для них реализована ограниченная поддержка в том плане, что защита будет работать, если запускать файл будут через ПКМ => Открыть, но вместо "Открыть" будет "Сохранить".  

хорошо, не устанавливается например таким образом Firefox, Thunderbird, Cryptopro... Что делать юзеру?
(у меня техподдержка ленится например, или не знает, как посмотреть лог события в журнале событий, так первое время просто сносило весь ключ safer,
пока я не научил пользоваться Cryptoprevent-ом, как посмотреть ,какое правило блокирует установку, и как временно отключить это правило.)
как ему узнать какое правило блокирует запуск данной программы, и что нужно сделать чтобы завершить нормально установку программы?
------
пока статью перенесу в полезные программы.

Ничего не делать, т.к. программы установятся нормально. Можешь проверить на виртуалке.

Это не очень надежное решение.  

FireFox создает временную папку в %TEMP%\7z*
Как думаете, насколько замедлится система если использовать сертификаты?
И имеет ли смысл их использовать для одобрения известного ПО

Как мне кажется, используя неограниченный режим, сертификаты проверяются индивидуально, без нагрузки на систему:

Скрытый текст

Пользователь должен получать предупреждение на  случай ошибки: "проверка сертификатов на данном PC невозможна"
------
Пользователь должен иметь возможность прописать свой список доверенных сертификатов.
Лучше всего в файл. ( пример такого файла ниже )
-------
Раз речь идёт о защите, то не стоит ограничивать функционал программы.
Есть левые китайские антивирусы, есть "защитники " от известных Российских компаний.
У них у всех вполне известные\легальные ЭЦП...
Что касается шифрования, или майнинг-а то здесь злоумышленники могут использовать легальные программы с легальной ЭЦП.
Поэтому должен быть именно пользовательский\корректируемый* список _доверенных сертификатов.  *( с возможностью отмены внесённых изменений )
То, что система считает сертификат подлинным ровно ни о чём не говорит.
-------
По браузерам.
например реализовать установку расширения которое будет блокировать загрузку определённых файлов.
т.е. пользователь хочет скачать файл с двойным расширением, и т.д.
как пример: https://addons.mozilla.org/ru/firefox/addon/noscript/
только сместить акценты > не только блокировать элементы сайта но и ограничить браузер\пользователя.

Белый список ЭЦП.txt