+- SafeGroup (https://safegroup.pl)
+-- Dział: Publikacje (https://safegroup.pl/forum-27.html)
+--- Dział: Testy (https://safegroup.pl/forum-22.html)
+--- Wątek: SpyShelter FW przeciwko ransomware - test na MT (/thread-11837.html)
SpyShelter FW przeciwko ransomware - test na MT - ichito - 07.04.2019
Test jest sprzed kilku dni i dotyczy wykrywania szkodników typu ransomware przez SpyShelter Firewall. Początek filmiku pokazuje, że aplikacja była na ustawieniach domyślnych czyli m.in. na poziomie ochrony "automatycznie zezwól - wysoki poziom". SS przepuszcza jednego szkodnika i to bez żadnego alertu, co dość mnie zastanawia, bo to oznacza wg mnie, że prawdopodobnie mimo kolejnych decyzji na alert "zakończ" utworzyła się reguła zezwalająca dla procesu Explorer.exe na uruchamianie pliku z pulpitu. Autor testu jednak nie pokazuje w trakcie, czy jakieś reguły się utworzyły zwłaszcza w zakładce "Kontrola startu aplikacji".
Jeśli macie jakieś swoje teorie...komentujcie.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: SpyShelter FW przeciwko ransomware - test na MT - Quassar - 07.04.2019
Wiem o tym zajściu pytałem o próbkę wirusa abym mógł to sprawdzić u siebie na kompie, ale bez odzewu.
i nie sprzed kilku dni tylko tygodnia rozmowa toczyła sie od ponad tygodnia a tydz temu został dodany filmik obrazujący sytuacje.
RE: SpyShelter FW przeciwko ransomware - test na MT - Buli - 07.04.2019
Juan raczej nie odpisuje. Subuje na YT gościa od dawna - ma fajne regularne testy. Co do faila SSFW, to pewnie wystarczyło dodać folder, który chce się uchronić przed ransomem (Ustawienia --> Ochrona --> Zdefiniowana przez użytkownika lista plików chronionych). Oraz dodać folder, z którego uruchamia ransomy do ograniczonych aplikacji (Ograniczone Aplikacje --> Lista ograniczonych aplikacji --> Dodaj folder). Takie combo zabezpieczy przed ransomami skutecznie. Podejrzewam, że starczyło by skorzystanie nawet z jednej z podanych opcji.
RE: SpyShelter FW przeciwko ransomware - test na MT - ichito - 10.04.2019
Oczywiście, że można włączyć ochronę plików/folderów, a na dodatek nadać ograniczenia dla ryzykownych lokalizacji, ale tu powodem...pewnie nieświadomym...może być metodologia. Na tym poziomie ochrony SS tworzy automatyczną regułę zezwalającą na uruchamianie dowolnego pliku dla mi.in. Explorer.exe (odpowiada on za m.in. uruchamianie obiektów z pulpitu) - to ta reguła w zakładce "kontrola startu aplikacji", gdzie zamiast ścieżki mamy symbol gwiazdki (pisałem o tym w swoim artykule)...to niebezpieczna reguła wg mnie i należy jej unikać.
Nie znam specyfiki tego szkodnika i być może wykorzystał opisane możliwości, a autor reguł nie sprawdzał...i nam też nie pokazał.