SafeGroup

No sporo wszedło...

Przeklikałem przez filmik - pokazujesz, które ransomware zostały odpalone, a które zatrzymane - ale nie widzę, czy sprawdzałeś, czy udało im się finalnie zaszyfrować też kopie cieniowe plików?

Hi

Akurat na tym konkretnym ransomie nie mogę tego sprawdzić, bo chociaż wykonuje ransom po kodowaniu odpowiednie komendy do usunięcia kopii cieniowych:


to poza nawet zainstalowanym OSArmor można pliki przywrócić, czyli robi to w sposób nie umiejętny.

Jak będę miał więcej czasu to sprawdzę ochronę kopii cieniowych przez program OSArmor, na konkretnych ransomach które wykonują to zadanie prawidłowo.

Sprawdziłem czy program zablokuje działania usunięcia kopii cieniowych za pomocą Ransomware Magniber - efekt jest taki że radzi sobie z tym działaniem i realnie zaszyfrowane pliki można przywrócić.

Kolejna wersja

Cytat:Here is a pre-release (not final) of OSArmor v1.4:

[Aby zobaczyć linki, zarejestruj się tutaj]

*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***

This is the changelog so far (will be updated on the next days):

+ The program is now installed on Program Files
+ Added support for exclusions via Exclusions.db file
+ Added support for custom block-rules via CustomBlock.db file
+ Added option "Disable Protection" on tray icon menu
+ Added option "Manage Exclusions" on main GUI and on tray icon menu
+ Added option "Custom Block-Rules" on main GUI and on tray icon menu
+ Fixed "Open Configurator" on Windows XP
+ Fixed display of tray icon on Windows XP
+ Fixed all reported false positives
+ Improved internal rules

A autor grzecznie prosi by nie publikować... jak nie chcesz testować to nie testuj, ale uszanuj wole autora.

Drogi Specjalisto, masz oczywiście rację, wahałem się czy zamieścić posta, ale, no właśnie ale,... autor prosi, ale sam zamieszcza ; zresztą może się komuś przydać, ktoś zauważy jakiś błąd; sumując, przekazanie linku może się przyczynić do rozwoju programu. Jeśli tak bardzo Ci przeszkadza, to usuń ten post i daruj sobie nauki moralne, heh.

Usunął bym ale nie mam praw moderatora na tym forum.

[Aby zobaczyć linki, zarejestruj się tutaj]

zacznij pisać poprawnie, to zostaniesz moderatorem,................a teraz na poważnie, może zróbmy głosowanie, czy powinienem usunąć post,....heh

Demokracja w internecie nie sprawdza się.

Wpis o udostępnianiu skierowany jest bardziej dla stron z oprogramowaniem, nie dla zwykłych użytkowników i beta testerów.

(26.12.2017, 09:52)zord napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Wpis o udostępnianiu skierowany jest bardziej dla stron z oprogramowaniem, nie dla zwykłych użytkowników i beta testerów.

W jednym zdaniu ująłeś istotę zagadnienia. 

Nareszcie instalatory mają w nazwie nr wersji...wszystkie poprzednie nazywały się tak samo

Nowa wersja

Cytat:Here is a new v1.4 (pre-release) (test2):

[Aby zobaczyć linki, zarejestruj się tutaj]

*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***

So far this is what's new compared to the previous pre-release (test1):

+ Prevent regsvr32.exe from loading .sct files
+ Block execution of any process related to SecurityXploded (unchecked by default)
+ Change the tray icon when the protection is disabled
+ Show the protection status on the GUI
+ Added more than 80 internal rules

This pre-release version can be installed over the top of the previous one.

Kolejna wersja testowa -  osarmor_setup_1.4_test3.exe

Cytat:So far this is what's new compared to the previous pre-release:

+ Block execution of .js scripts
+ Block execution of .jse scripts
+ Block execution of .vbs scripts (unchecked by default)
+ Block execution of .vbe scripts
+ Block execution of .hta scripts
+ Block execution of .cmd scripts (unchecked by default)
+ Improved setup installer and uninstaller
+ Added button to reset protection options to the default values
+ Fixed all reported FPs

This pre-release version can be installed over the top of the previous one.

[Aby zobaczyć linki, zarejestruj się tutaj]

Wersja testowa nr 6

Cytat:Here is a new v1.4 (pre-release) (test6):


*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***

So far this is what's new compared to the previous pre-release:

+ Prevent PowerShell from using Invoke-Expression via cmdline (unchecked by default)
+ Prevent wscript.exe from changing script engine via //E:
+ Prevent cscript.exe from changing script engine via //E:
+ Fixed all reported false positives
+ Added more than 100 internal rules
+ Minor fixes and optimizations

This pre-release version can be installed over the top of the previous one.

[Aby zobaczyć linki, zarejestruj się tutaj]

Jest kolejna wersja 1.4 test nr 9...w ostatnich wersjach naprawiono sporo błędów we współpracy z innymi aplikacjami...

[Aby zobaczyć linki, zarejestruj się tutaj]

Program się rozwija dynamicznie i fajnie...ale odnoszę wrażenie, że mamy powtórkę z rozrywki czyli niekończące się wersje testowe jak VoodooSheild i potem...dziwny koniec...

Była wersja 9,11...teraz 12 i widać nowości nie tylko "pod maską". Zmienił się ekran główny...ten nieco wcześniej...dodano dwa przyciski - jeden pozwalający na dodanie lokalizacji wykluczonych z ochrony (blokowania akcji) oraz drugi, otwierający listę tworzenia własnych reguł blokowania. Najbardziej jednak widać zmiany w rozbudowanym panelu konfiguracji, który został podzielony na 3 zakładki
- ustawienia podstawowe (Main Protections)
- reguły anti-exploit (Anti-exploit)...akcje na tych dwóch listach są domyślnie włączone
- reguły zaawansowane (Advanced) - reguły związane z blokowaniem określonych aplikacji, lokalizacji, plików wykonywalnych i skryptów...wszystkie akcje są domyślnie wyłączone.
Panel reguł pozwala ponadto na
- resetowanie ustawień do wartości domyślnych
- eksportowanie oraz importowanie ustawień.


Poniżej screeny z wersji testowej 1.4 test 12
ekran główny
[attachment=1115]

panele konfiguracji reguł
[attachment=1116]

Wersja test 13

Cytat:So far this is what's new compared to the previous pre-release:

+ Added more applications on the "Anti-Exploit" tab
+ Added a basic GUI app to create exclusions
+ Added %FILESIGNER%, %PROCESSFILEPATH%, %PARENTFILEPATH%, %PARENTSIGNER% variables
+ Minor fixes and optimizations

oraz test 14

Cytat:+ Block execution of C Sharp compiler (csc.exe) (unchecked by default)
+ Block execution of Visual Basic compiler (vbc.exe) (unchecked by default)
+ Block suspicious processes executed from Rundll32 (unchecked by default)
+ On "Exclusions Helper" GUI do not add the exclusion rule if is already present
+ Added LibreOffice and Kingsoft WPS Office on "Anti-Exploit" tab
+ Block processes executed from C Sharp compiler (csc.exe) (unchecked by default)
+ Block processes executed from Visual Basic compiler (vbc.exe) (unchecked by default)
+ Fixed some false positives

[Aby zobaczyć linki, zarejestruj się tutaj]

W ostatniej wersji autor wprowadził specjalną maskę, która ma ułatwić tworzenie reguł wykluczeń
[attachment=1117]

Kolejne wersje testowe i kolejne usprawnienia
test 14

Cytat:+ Block execution of C Sharp compiler (csc.exe) (unchecked by default)
+ Block execution of Visual Basic compiler (vbc.exe) (unchecked by default)
+ Block suspicious processes executed from Rundll32 (unchecked by default)
+ On "Exclusions Helper" GUI do not add the exclusion rule if is already present
+ Added LibreOffice and Kingsoft WPS Office on "Anti-Exploit" tab
+ Block processes executed from C Sharp compiler (csc.exe) (unchecked by default)
+ Block processes executed from Visual Basic compiler (vbc.exe) (unchecked by default)
+ Fixed some false positives

test 15

Cytat:So far this is what's new compared to the previous pre-release:

+ Block execution of .jar scripts (unchecked by default)
+ Block execution of netsh.exe from specific processes (unchecked by default)
+ Block specific processes from self-executing (unchecked by default) *** Experimental ***
+ Exclusions.db and CustomBlock.db are now in UTF-8 format
+ Improved detection of suspicious Explorer behaviors
+ Minor fixes and optimizations

To install this pre-release, first uninstall the old one.

For final release we miss:

* Driver co-signed with MS for Secure Boot
* Some more days of testing to find out if there are other FPs to fix
* Probably enable "Block execution of .vbs scripts" by default
* Fix issues reported by

[Aby zobaczyć linki, zarejestruj się tutaj]

and

[Aby zobaczyć linki, zarejestruj się tutaj]

on XP OS

test 16

Cytat:+ Block execution of .msc scripts (unchecked by default)
+ Block execution of .bat scripts (unchecked by default)
+ Improved some internal rules related to the options added on test15
+ Updated Configurator and "Exclusions Helper" GUI
+ Minor fixes and optimizations
+ Fixed some false positives