Liczba postów: 2 758
Liczba wątków: 56
Dołączył: 14.12.2011
Reputacja:
250
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Liczba postów: 1 181
Liczba wątków: 36
Dołączył: 12.08.2011
Reputacja:
65
Przeklikałem przez filmik - pokazujesz, które ransomware zostały odpalone, a które zatrzymane - ale nie widzę, czy sprawdzałeś, czy udało im się finalnie zaszyfrować też kopie cieniowe plików?
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Hi
Akurat na tym konkretnym ransomie nie mogę tego sprawdzić, bo chociaż wykonuje ransom po kodowaniu odpowiednie komendy do usunięcia kopii cieniowych:
Kod: @echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
to poza nawet zainstalowanym OSArmor można pliki przywrócić, czyli robi to w sposób nie umiejętny.
Jak będę miał więcej czasu to sprawdzę ochronę kopii cieniowych przez program OSArmor, na konkretnych ransomach które wykonują to zadanie prawidłowo.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Sprawdziłem czy program zablokuje działania usunięcia kopii cieniowych za pomocą Ransomware Magniber - efekt jest taki że radzi sobie z tym działaniem i realnie zaszyfrowane pliki można przywrócić.
Kod: Process: [2980]C:\Windows\System32\cmd.exe
Parent: [2616]
Rule: BlockDeletionOfShadowCopies
Rule Name: Block system processes from deleting shadow copies
Command Line: "cmd.exe" /c "C:\Windows\system32\wbem\wmic shadowcopy delete"
Liczba postów: 9
Liczba wątków: 0
Dołączył: 22.12.2011
Reputacja:
0
Kolejna wersja
Cytat:Here is a pre-release (not final) of OSArmor v1.4:
[Aby zobaczyć linki, zarejestruj się tutaj]
*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***
This is the changelog so far (will be updated on the next days):
+ The program is now installed on Program Files
+ Added support for exclusions via Exclusions.db file
+ Added support for custom block-rules via CustomBlock.db file
+ Added option "Disable Protection" on tray icon menu
+ Added option "Manage Exclusions" on main GUI and on tray icon menu
+ Added option "Custom Block-Rules" on main GUI and on tray icon menu
+ Fixed "Open Configurator" on Windows XP
+ Fixed display of tray icon on Windows XP
+ Fixed all reported false positives
+ Improved internal rules
Liczba postów: 2 758
Liczba wątków: 56
Dołączył: 14.12.2011
Reputacja:
250
25.12.2017, 02:12
(Ten post był ostatnio modyfikowany: 25.12.2017, 02:13 przez Quassar.)
A autor grzecznie prosi by nie publikować... jak nie chcesz testować to nie testuj, ale uszanuj wole autora.
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Liczba postów: 9
Liczba wątków: 0
Dołączył: 22.12.2011
Reputacja:
0
Drogi Specjalisto, masz oczywiście rację, wahałem się czy zamieścić posta, ale, no właśnie ale,... autor prosi, ale sam zamieszcza ; zresztą może się komuś przydać, ktoś zauważy jakiś błąd; sumując, przekazanie linku może się przyczynić do rozwoju programu. Jeśli tak bardzo Ci przeszkadza, to usuń ten post i daruj sobie nauki moralne, heh.
Liczba postów: 2 758
Liczba wątków: 56
Dołączył: 14.12.2011
Reputacja:
250
25.12.2017, 15:09
(Ten post był ostatnio modyfikowany: 25.12.2017, 15:10 przez Quassar.)
Usunął bym ale nie mam praw moderatora na tym forum.
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Liczba postów: 9
Liczba wątków: 0
Dołączył: 22.12.2011
Reputacja:
0
25.12.2017, 15:47
(Ten post był ostatnio modyfikowany: 25.12.2017, 15:52 przez ingmarek.)
[Aby zobaczyć linki, zarejestruj się tutaj]
zacznij pisać poprawnie, to zostaniesz moderatorem,................a teraz na poważnie, może zróbmy głosowanie, czy powinienem usunąć post,....heh
Liczba postów: 919
Liczba wątków: 12
Dołączył: 05.12.2015
Reputacja:
58
Demokracja w internecie nie sprawdza się.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
Wpis o udostępnianiu skierowany jest bardziej dla stron z oprogramowaniem, nie dla zwykłych użytkowników i beta testerów.
Liczba postów: 9
Liczba wątków: 0
Dołączył: 22.12.2011
Reputacja:
0
(26.12.2017, 09:52)zord napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Wpis o udostępnianiu skierowany jest bardziej dla stron z oprogramowaniem, nie dla zwykłych użytkowników i beta testerów. W jednym zdaniu ująłeś istotę zagadnienia.
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Nareszcie instalatory mają w nazwie nr wersji...wszystkie poprzednie nazywały się tak samo
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 9
Liczba wątków: 0
Dołączył: 22.12.2011
Reputacja:
0
Nowa wersja
Cytat:Here is a new v1.4 (pre-release) (test2):
[Aby zobaczyć linki, zarejestruj się tutaj]
*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***
So far this is what's new compared to the previous pre-release (test1):
+ Prevent regsvr32.exe from loading .sct files
+ Block execution of any process related to SecurityXploded (unchecked by default)
+ Change the tray icon when the protection is disabled
+ Show the protection status on the GUI
+ Added more than 80 internal rules
This pre-release version can be installed over the top of the previous one.
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
30.12.2017, 17:59
(Ten post był ostatnio modyfikowany: 30.12.2017, 18:00 przez ichito.)
Kolejna wersja testowa - osarmor_setup_1.4_test3.exe
Cytat:So far this is what's new compared to the previous pre-release:
+ Block execution of .js scripts
+ Block execution of .jse scripts
+ Block execution of .vbs scripts (unchecked by default)
+ Block execution of .vbe scripts
+ Block execution of .hta scripts
+ Block execution of .cmd scripts (unchecked by default)
+ Improved setup installer and uninstaller
+ Added button to reset protection options to the default values
+ Fixed all reported FPs
This pre-release version can be installed over the top of the previous one.
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Wersja testowa nr 6
Cytat:Here is a new v1.4 (pre-release) (test6):
*** Please do not share the download link, we will delete it when we'll release the official v1.4 ***
So far this is what's new compared to the previous pre-release:
+ Prevent PowerShell from using Invoke-Expression via cmdline (unchecked by default)
+ Prevent wscript.exe from changing script engine via //E:
+ Prevent cscript.exe from changing script engine via //E:
+ Fixed all reported false positives
+ Added more than 100 internal rules
+ Minor fixes and optimizations
This pre-release version can be installed over the top of the previous one.
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Jest kolejna wersja 1.4 test nr 9...w ostatnich wersjach naprawiono sporo błędów we współpracy z innymi aplikacjami...
[Aby zobaczyć linki, zarejestruj się tutaj]
Program się rozwija dynamicznie i fajnie...ale odnoszę wrażenie, że mamy powtórkę z rozrywki czyli niekończące się wersje testowe jak VoodooSheild i potem...dziwny koniec...
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Była wersja 9,11...teraz 12 i widać nowości nie tylko "pod maską". Zmienił się ekran główny...ten nieco wcześniej...dodano dwa przyciski - jeden pozwalający na dodanie lokalizacji wykluczonych z ochrony (blokowania akcji) oraz drugi, otwierający listę tworzenia własnych reguł blokowania. Najbardziej jednak widać zmiany w rozbudowanym panelu konfiguracji, który został podzielony na 3 zakładki
- ustawienia podstawowe (Main Protections)
- reguły anti-exploit (Anti-exploit)... akcje na tych dwóch listach są domyślnie włączone
- reguły zaawansowane (Advanced) - reguły związane z blokowaniem określonych aplikacji, lokalizacji, plików wykonywalnych i skryptów... wszystkie akcje są domyślnie wyłączone.
Panel reguł pozwala ponadto na
- resetowanie ustawień do wartości domyślnych
- eksportowanie oraz importowanie ustawień.
Poniżej screeny z wersji testowej 1.4 test 12
ekran główny
panele konfiguracji reguł
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
07.01.2018, 10:06
(Ten post był ostatnio modyfikowany: 07.01.2018, 10:19 przez ichito.)
Wersja test 13
Cytat:So far this is what's new compared to the previous pre-release:
+ Added more applications on the "Anti-Exploit" tab
+ Added a basic GUI app to create exclusions
+ Added %FILESIGNER%, %PROCESSFILEPATH%, %PARENTFILEPATH%, %PARENTSIGNER% variables
+ Minor fixes and optimizations
oraz test 14
Cytat:+ Block execution of C Sharp compiler (csc.exe) (unchecked by default)
+ Block execution of Visual Basic compiler (vbc.exe) (unchecked by default)
+ Block suspicious processes executed from Rundll32 (unchecked by default)
+ On "Exclusions Helper" GUI do not add the exclusion rule if is already present
+ Added LibreOffice and Kingsoft WPS Office on "Anti-Exploit" tab
+ Block processes executed from C Sharp compiler (csc.exe) (unchecked by default)
+ Block processes executed from Visual Basic compiler (vbc.exe) (unchecked by default)
+ Fixed some false positives
[Aby zobaczyć linki, zarejestruj się tutaj]
W ostatniej wersji autor wprowadził specjalną maskę, która ma ułatwić tworzenie reguł wykluczeń
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Kolejne wersje testowe i kolejne usprawnienia
test 14
Cytat:+ Block execution of C Sharp compiler (csc.exe) (unchecked by default)
+ Block execution of Visual Basic compiler (vbc.exe) (unchecked by default)
+ Block suspicious processes executed from Rundll32 (unchecked by default)
+ On "Exclusions Helper" GUI do not add the exclusion rule if is already present
+ Added LibreOffice and Kingsoft WPS Office on "Anti-Exploit" tab
+ Block processes executed from C Sharp compiler (csc.exe) (unchecked by default)
+ Block processes executed from Visual Basic compiler (vbc.exe) (unchecked by default)
+ Fixed some false positives
test 15
Cytat:So far this is what's new compared to the previous pre-release:
+ Block execution of .jar scripts (unchecked by default)
+ Block execution of netsh.exe from specific processes (unchecked by default)
+ Block specific processes from self-executing (unchecked by default) *** Experimental ***
+ Exclusions.db and CustomBlock.db are now in UTF-8 format
+ Improved detection of suspicious Explorer behaviors
+ Minor fixes and optimizations
To install this pre-release, first uninstall the old one.
For final release we miss:
* Driver co-signed with MS for Secure Boot
* Some more days of testing to find out if there are other FPs to fix
* Probably enable "Block execution of .vbs scripts" by default
* Fix issues reported by [Aby zobaczyć linki, zarejestruj się tutaj] and [Aby zobaczyć linki, zarejestruj się tutaj] on XP OS
test 16
Cytat:+ Block execution of .msc scripts (unchecked by default)
+ Block execution of .bat scripts (unchecked by default)
+ Improved some internal rules related to the options added on test15
+ Updated Configurator and "Exclusions Helper" GUI
+ Minor fixes and optimizations
+ Fixed some false positives
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
|