Форум esetnod32.ru [тема: Защита от шифровальщиков] http://forum.esetnod32.ru Новое в теме Защита от шифровальщиков форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 17 Apr 2026 07:43:44 +0300 Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
вот кстати, скрипншоты будущей 8 версии Криптопревента.

Пользователь добавил изображение

Пользователь добавил изображение
12.07.2016 15:40:17, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93921/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93921/ Tue, 12 Jul 2016 15:40:17 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.

====quote====
RP55 RP55 написал:
FireFox создает временную папку в %TEMP%\7z*
Как думаете, насколько замедлится система если использовать сертификаты?
И имеет ли смысл их использовать для одобрения известного ПО

Как мне кажется, используя неограниченный режим, сертификаты проверяются индивидуально, без нагрузки на систему:
=============

Вы - разработчик, вам решать данную проблему.
я всего лишь говорю, о том с чем столкнулся на практике. Что правило, которое запрещает запуск исполняемого exe из архива 7z блокирует установку Firefox, Thunderbird


====quote====
SUSPICIOUS APPLICATION BLOCKED

Доступ к C:\DOCUME~1\****\LOCALS~1\Temp\7zS1026.tmp\setup.exe был ограничен Администратором по расположению правилом политики {a13b77f7-3d74-43be-8d4b-0c76e9de9963}, расположенной в C:\Documents and Settings\****\Local Settings\Temp\7z*\*.exe
=============

поскольку может быть создано порядка сотни правил, то есть необходимость оперативно найти то правило, которое выполняет блокировку полезной программы.
отсюда я делаю вывод о необходимости логов. (как это сделано в Криптопревент)
12.07.2016 04:48:44, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93912/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93912/ Tue, 12 Jul 2016 04:48:44 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.

====quote====
mike 1 написал:

====quote====
Что делать юзеру?
=============
Ничего не делать, т.к. программы установятся нормально. Можешь проверить на виртуалке.

====quote====
пока я не научил пользоваться Cryptoprevent-ом
=============
Это не очень надежное решение.
=============
mike_1,
в данном случае в Cryptoprevent они используют  только функцию alert - view event log, это проще, чем использовать журнал событий, хотя CP думаю, формирует свои логи именно из журнала событий.

Пользователь добавил изображение

по поводу надежности: все зависит от того какие правила будут созданы.
Минус в бесплатной версии в том, что нельзя редактировать (через интерфейс программы) уже созданную политику.
Второй минус в том, что они что-то долго тянут с беткой 8 версии. Уже второй год пошел.
12.07.2016 04:36:17, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93911/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93911/ Tue, 12 Jul 2016 04:36:17 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
Думаю, проще сделать кнопки отключения включения защиты архивов, т.е. правил SRP в отдельном приложении.
12.07.2016 02:24:49, Виктор.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93910/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93910/ Tue, 12 Jul 2016 02:24:49 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
Белый список ЭЦП.txt
Белый список ЭЦП.txt
11.07.2016 23:51:18, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93906/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93906/ Mon, 11 Jul 2016 23:51:18 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.

====quote====
Виктор написал:
если использовать сертификаты?
И имеет ли смысл их использовать для одобрения известного ПО

=============

Пользователь должен получать предупреждение на  случай ошибки: "проверка сертификатов на данном PC невозможна"
------
Пользователь должен иметь возможность прописать свой список доверенных сертификатов.
Лучше всего в файл. ( пример такого файла ниже )
-------

====quote====
Виктор написал:
Представляю Вам утилиту для офисных пользователей, для защиты от шифрования данных.
=============
Раз речь идёт о защите, то не стоит ограничивать функционал программы.
Есть левые китайские антивирусы, есть "защитники " от известных Российских компаний.
У них у всех вполне известные\легальные ЭЦП...
Что касается шифрования, или майнинг-а то здесь злоумышленники могут использовать легальные программы с легальной ЭЦП.
Поэтому должен быть именно пользовательский\корректируемый* список _доверенных сертификатов.  *( с возможностью отмены внесённых изменений )
То, что система считает сертификат подлинным ровно ни о чём не говорит.
-------
По браузерам.
например реализовать установку расширения которое будет блокировать загрузку определённых файлов.
т.е. пользователь хочет скачать файл с двойным расширением, и т.д.
как пример: https://addons.mozilla.org/ru/firefox/addon/noscript/
только сместить акценты > не только блокировать элементы сайта но и ограничить браузер\пользователя.
11.07.2016 23:49:32, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93905/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93905/ Mon, 11 Jul 2016 23:49:32 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
FireFox создает временную папку в %TEMP%\7z*
Как думаете, насколько замедлится система если использовать сертификаты?
И имеет ли смысл их использовать для одобрения известного ПО

Как мне кажется, используя неограниченный режим, сертификаты проверяются индивидуально, без нагрузки на систему:
Скрытый текст

Пользователь добавил изображение
11.07.2016 22:13:36, Виктор.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93904/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93904/ Mon, 11 Jul 2016 22:13:36 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.

====quote====
Что делать юзеру?
=============
Ничего не делать, т.к. программы установятся нормально. Можешь проверить на виртуалке.


====quote====
пока я не научил пользоваться Cryptoprevent-ом
=============
Это не очень надежное решение.  
11.07.2016 16:54:16, mike 1.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93902/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93902/ Mon, 11 Jul 2016 16:54:16 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
хорошо, не устанавливается например таким образом Firefox, Thunderbird, Cryptopro... Что делать юзеру?
(у меня техподдержка ленится например, или не знает, как посмотреть лог события в журнале событий, так первое время просто сносило весь ключ safer,
пока я не научил пользоваться Cryptoprevent-ом, как посмотреть ,какое правило блокирует установку, и как временно отключить это правило.)
как ему узнать какое правило блокирует запуск данной программы, и что нужно сделать чтобы завершить нормально установку программы?
------
пока статью перенесу в полезные программы.
11.07.2016 16:04:02, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93898/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93898/ Mon, 11 Jul 2016 16:04:02 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.

====quote====
скажем, запрет на запуск из архивов *.exe приводит к тому, что такие программы как Firefox, Thunderbird (и другие, которые в темп распаковывают свои модули в архивах) не будут установлены, а будут заблокированы.
=============
Сами *.exe не блокируются. Для них реализована ограниченная поддержка в том плане, что защита будет работать, если запускать файл будут через ПКМ => Открыть, но вместо "Открыть" будет "Сохранить".  
11.07.2016 15:58:05, mike 1.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93897/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93897/ Mon, 11 Jul 2016 15:58:05 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
как минимум нужны логи для того чтобы проверять какое правило блокирует установку/или запуск полезной программы.
скажем, запрет на запуск из архивов *.exe приводит к тому, что такие программы как Firefox, Thunderbird (и другие, которые в темп распаковывают свои модули в архивах) не будут установлены, а будут заблокированы. (Иначе, техподдержка, снесет под корень такую программу.)

лично меня устраивает полностью Cryptoprevent, но начинание думаю полезное, со временем отшлифуется программа.

кроме того  сейчас есть возможность добавить политики (ключ safer) непосредственно из uVS одним скриптом.
11.07.2016 15:10:31, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93886/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93886/ Mon, 11 Jul 2016 15:10:31 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
Путь в карантин: C:\Program Files\FixSecurity\Quarantine
Создается архив с именем infected и тем же паролем

Каждое выбранное в утилите расширение, обрабатывается командой в реестре.
Формат расширений: *.bat *.cmd и т.д.
11.07.2016 15:06:16, Виктор.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93884/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93884/ Mon, 11 Jul 2016 15:06:16 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
Привет, Виктор.
о каком карантине здесь идет речь?

====quote====
1) Защита от известных исполняемых файлов, которые вместо обычного запуска попадают в карантин
=============
видимо предполагается неизвестные исполняемые...
11.07.2016 14:56:04, santy.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93883/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93883/ Mon, 11 Jul 2016 14:56:04 +0300 Полезные программы Защита от шифровальщиков Защита от шифровальщиков в форуме Полезные программы.
Представляю Вам утилиту для офисных пользователей, для защиты от шифрования данных.
Как известно, большая часть шифровальщиков распространяется через электронную почту.
Назначение этой утилиты - блокировка исполняемых файлов от случайного запуска неопытными пользователями.

Функции защиты:
1) Защита от известных исполняемых файлов, которые вместо обычного запуска попадают в карантин
2) Опция включения встроенной защиты в WinRAR архиваторе, которая позволяет блокировать все известные исполняемые файлы
3) Защита правилами SRP, которые позволяют блокировать все известные исполняемые файлы внутри архивов

Дополнительные опции:
- полное отключение скриптов для пользователя или для системы
- включение отображения расширений файлов (типы файлов)

Пользователь добавил изображение

Утилита бесплатная, а так же имеется онлайн чат, для отправки карантина на проверку.
http://safezone.cc/resources/fixrun-fixsecurity-zaschita-ot-shifrovalschikov.196/
11.07.2016 14:31:51, Виктор.]]> http://forum.esetnod32.ru/messages/forum8/topic13390/message93881/ http://forum.esetnod32.ru/messages/forum8/topic13390/message93881/ Mon, 11 Jul 2016 14:31:51 +0300 Полезные программы