Windows 7 + UAC + EMET + MSE4 vs ransomy

[Konto usunięte]

No i zrobiłem test o którym pisałem wczoraj, a który w nieco inny sposób wykonał już chomikos
Miał on na celu pokazanie, na jak wiele możemy liczyć stosując jedynie wbudowane lub dostępne dodatkowo, darmowe narzędzia Microsoftu do ochrony ich systemu.

Bohaterami dzisiejszego starcia są:
- Windows 7 Professional SP1 64-bit
- UAC ustawiony na max.
- EMET 4.0 z ochroną ustawioną na wysoką + zalecane ustawienia przy instalacji
- MSE 4 z najnowszymi bazami
- wszystkie aktualizacje systemowe

Przeciwko nim stanęło do walki 20 ransomów jakie otrzymałem od tachiona (za które mu w tym miejscu szczerze dziękuję).
Jak spisał się taki "zestawik" w walce? Przekonać się o tym może z krótkiego filmu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Wyniki i wnioski
Niestety, zestaw poległ.
W trakcie testu eksplorator był kilka razy przeładowywany, część plików wyparowała co budziło nadzieje na sukces, no ale niestety... po ponownym uruchomieniu wita nas dobrze znana informacja o rzekomym naruszeniu prawa... Oczywiście daleko jest od tego aby mówić, że takie połączenie jest złe. W wielu wypadkach poradzi sobie, może też dzięki EMETowi chronić takie aplikacje jak przeglądarka internetowa czy wiecznie dziurawa Java, ale... no właśnie. Przypadki infekcji takimi zagrożeniami są ostatnio bardzo częste, jest to istna plaga. Od siebie zalecałbym więc coś innego, co lepiej niż MSE radzi sobie z nowymi zagrożeniami.

[konrad11901]

Wynik był do przewidzenia...
Zabezpieczenia Microsoftu nie są i nie były najlepsze. Może na Windows 8 w połączeniu z SmartScreen i IE10 to daje wystarczającą ochronę, ale na Windows 7 i niżej... wtedy to nie wystarcza.
Co gorsza, MSE jest instalowany na wielu komputerach(nawet w mojej szkole), ponieważ ,,Microsoft daje super zabezpieczenia, oni się znają, przecież zrobili system!".
Ale nic się nie zrobi.

Ogólnie świetny test, czekam na więcej!

[Miquell]

Od siebie zalecałbym więc coś innego, co lepiej niż MSE radzi sobie z nowymi zagrożeniami.

To świetna pointa dla testu MSE Od dłuższego czasu nie używałem tego ustrojstwa, ale z każdym moim podejściem do MSE miałem wrażenie, że mam do czynienia z czymś w rodzaju darmowego narzędzia możliwego do wykorzystania dla ewentualnego podniesienia bezpieczeństwa systemu niż z programem, który zwyczajnie w kwestii ochrony na pierwszej linii stanąłby do walki z mniej czy bardziej znanym malware. Myślę, że skoro Microsoft poczynił już kroki w kierunku programu mającego dbać o bezpieczeństwo systemu, należałoby pójść o krok dalej (a możliwości ku temu im raczej nie brakuje) i bardziej poważnie zadbać o swój produkt.
Zawsze można podejrzeć działania innych - a jest od kogo się uczyć - chociażby od avasta
A byłbym zapomniał o najważniejszym - Łukasz , dzięki za test

[bardok206]

Co to za wersja Enhanced Mitigation Experience Toolkit ?
edit: już widzę.... ahh ten wyjazd służbowy i 27 h pracy non stop.

[preter]

Dziękuję za test.

Szkoda, że zabezpieczenia Microsoftu słabo sobie radzą z zagrożeniami.

Pozdrawiam,
preter

[Konto usunięte]

Test będę robił raz jeszcze.
Chcę (nie tylko ja) przekonać się jak to będzie wyglądało przy "wymuszonym UAC" tj. praca na koncie ograniczonym.
Wiem, że niewiele osób tak pracuje, ale jednak chcę się dowiedzieć jakie będa rezultaty.

[preter]

Test będę robił raz jeszcze.
Chcę (nie tylko ja) przekonać się jak to będzie wyglądało przy "wymuszonym UAC" tj. praca na koncie ograniczonym.
Wiem, że niewiele osób tak pracuje, ale jednak chcę się dowiedzieć jakie będa rezultaty.

To świetna myśl. Z chęcią go obejrzę.

[buri]

Test będę robił raz jeszcze.
Chcę (nie tylko ja) przekonać się jak to będzie wyglądało przy "wymuszonym UAC" tj. praca na koncie ograniczonym.
Wiem, że niewiele osób tak pracuje, ale jednak chcę się dowiedzieć jakie będa rezultaty.

Ja mam uzupełnione przez SS Premium i na chwilę obecną nie widzę sensu zmieniać mimo porażki tutaj. Jednak lekkość jest dla mnie więcej warta.

[Konto usunięte]

Druga część testu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Tym razem składa się on z dwóch etapów.
Pierwszym jest test wykonany na koncie z ograniczonymi uprawnieniami (konto standardowe). Widać w nim, że zysk z pracy na takim koncie jednak istnieje, bo niektóre z próbek nie były w stanie wykonać częściowo lub w pełni tego co zamierzały. Niestety, system ponownie poległ przez Urausy...
Drugi etap polegał na zalogowaniu się na konto administratora (działało poprawnie), wykonanie skanowania MBAM i HitmanPro, oraz próba uruchomienia standardowego konta. Taki sposób leczenia udał się. Konto wróciło do życia.

Wnioski:
- Ograniczenie uprawnień ma sens, nawet jak nie powstrzyma wszystkiego, coś zatrzyma. Widać wyraźnie, że system domyślnie obniżonych tokenów dla konta administratora jednak ma znaczenie.
- Nawiązując do powyższego: błędnym jest sądzenie, że praca na takim koncie jest w stanie przed wszystkim nas uratować. Dodatkowa ochrona to jednak mus.
- Dwa konta mają tą zaletę, że możliwe jest, iż zainfekujemy sobie tylko konto standardowe. Ciągle będziemy posiadać dostęp do konta administratora = nie trzeba używać livecd aby uratować system.

[Miquell]

Łukasz , bardzo dobry i potrzebny test

[sopel69]

Ciekawe gdyby dorzucić do zestawuMalwarebytes Anti-Exploit, czy coś by to dało?

[buri]

Właśnie jak myślicie SS Premium dałby coś więcej? Taki pakiet posiadam i jest z niego zadowolony, przeglądarka oczywiście jako ograniczona aplikacja.

[Ambient]

Właśnie jak myślicie SS Premium dałby coś więcej?

Oczywiście, że tak. Ewentualnie dla świętego spokoju można dodać jakąś lekką wirtualizacje - Toolwiz time freeze lub ShadowDefender.

[Konto usunięte]

Wydaje mi się, że SpyShelter załatwiłby tu sprawę nawet bez MSE czy UAC.
W końcu reaguje na bardzo wiele rzeczy.