CryptoPrevent - ochrona przeciw porwaniom

[ichito]

Program zagościł u mnie na 2 maszynach - z XP i Vistą, a powodem jest nieustanna "przepychanka" pomiędzy HMPA i MBAE...poza tym nie jestem do końca przekonany, czy naprawdę aż tak potrzebuję czegoś tylko przeciw exploitom...w końcu na XP jest EdgeGuard Solo i NVT ERP, a na Viście SS Premium z restrykcjami dla niektórych aplikacji.

[wojek]

Program idzie z duchem czasu, wprowadzając ochronę przed szkodnikiem Critroni:

v6.1.5-Added new internal hash definitions for Critroni/CBT-Locker detections and a few other misc tweaks.

Fajnie byłoby, gdyby któryś z tych omawianych przez nas programów (CP, HMPA, MBAE, itd.)
potrafił ochronić przez zagrożeniem w momencie jego pojawienia się, a nie post factum.

[ichito]

Fajnie byłoby, gdyby któryś z tych omawianych przez nas programów (CP, HMPA, MBAE, itd.)
potrafił ochronić przez zagrożeniem w momencie jego pojawienia się, a nie post factum.

No niestety...żaden program nie chroni "przed"...zawsze "po"...po pobraniu na dysk...po uruchomieniu i jakiejś pierwszej dziwnej akcji...po zeskanowaniu. Jedyna ochrona "przed" w ich przypadku to chyba wtedy, gdy skanują pobierane na dysk pliki, blokują działanie przez restrykcje lub domyślne reguły blokowania...ewentualnie blokada podejrzanych stron...nic mi więcej nie przychodzi teraz do głowy. Nawet programy do ochrony proaktywnej, które wydaje się, że chronią "przed", tak naprawdę są ochroną już "po czymś", bo w końcu uruchamiamy i wykrywamy coś, co u nas się już pojawiło w jakiś sposób.
Ochrona "przed" to rozsądek i przestrzeganie pewnych zasad.

[wojek]

U mnie Avira sygnalizuje ew. problem jeszcze przed zapisaniem pliku (o ile nie wcisnę za szybko przycisku ''zapisz'' ).
Pewnie inne antywirusy tak samo.Ponieważ pobieram różne pliki (np. archiwa), stosuję ten dodatek do FF:

[Aby zobaczyć linki, zarejestruj się tutaj]

Oczywiście skan trzeba zrobić przed rozpoczęciem pobierania pliku, lub przed otwarciem (podejrzanej) strony.
Pewnie najnowszych zagrożeń (np. typu zero-day) nie wyłapie, ale niektóre antywirusy tam
na tyle szybko aktualizują bazy, że ryzyko infekcji istotnie maleje.

[zbc]

Program idzie z duchem czasu, wprowadzając ochronę przed szkodnikiem Critroni:

v6.1.5-Added new internal hash definitions for Critroni/CBT-Locker detections and a few other misc tweaks.

Fajnie byłoby, gdyby któryś z tych omawianych przez nas programów (CP, HMPA, MBAE, itd.)
potrafił ochronić przez zagrożeniem w momencie jego pojawienia się, a nie post factum.

MBAE to anti-exploit

[wojek]

To prawda, ale wciąż do końca nie wiemy, czy MBAE działa tylko dla znanych mechanizmów / gatunków / typów exploitów,
czy też może ma bardziej ogólny mechanizm ochrony. Na pewno jakieś bardziej szczegółowe i niezależne testy będą przeprowadzone,
m.in. zapowiada je Britec (ten, który opublikował ostatni test HMPA).

[wojek]

Ukazała się nowa wersja, v7.0.0

A oto lista zmian:

v7.0

NEW simplified and easy to understand interface, replacing the many obscurely labeled protection option check boxes with a few simple protection “levels”
to select from (the old interface still exists in the Advanced menu, and it has been updated as well.)

Updated to not trigger Malwarebytes Anti-Malware detections (thanks to the MBAM research team.)

Improved Filter Module function.

Changed recommended defaults slightly.

Enabled optional “Experimental Protection” level (the Experimental EXE/COM settings in the Filter Module.)
NOTE:This setting is not largely tested and is NOT recommended for most people, as there may be side effects which could potentially cause system instability.
Please understand I cannot accept responsibility for your usage of this setting.If you do wish to use this setting, I would love to hear your feedback
on any issues you suspect may be related to having it enabled.

[Aby zobaczyć linki, zarejestruj się tutaj]

[wojek]

Ciągnę ten temat dalej, może za częste wpisy, ale jest nowa wersja, v7.1.0

v7.1

Added new misc. protections for known malware processes (specifically dealing with “child porn” related ransomware going around currently)
which is applied to Default level of protection and higher, or listed as the “Known malware processes” check in the Advanced interface.

Fixed two bugs associated with creating custom whitelist policies in the Software Restrictions Policy Editor (Advanced interface.)

Kilka dni temu były dwie małe aktualizacje, 7.0.1 i 7.0.2.

Przydałby się jakiś test obejmujący m.in. HMPA v2 i CP.

[wojek]

Ukazała się nowa wersja v7.3 i zaraz po niej v7.3.1

Poza nowymi wersjami ukazującymi się raz na jakiś czas, co kilka dni są aktualizacje definicji,
więc warto od czasu do czasu ręcznie sprawdzać opcję Updates -> Check for Updates.

Ostatecznie, po kilku godzinach mamy już wersję v7.3.3, a nawet v7.3.5

Oto lista zmian:

v7.3.5(Oct. 12th 2014)

Changed status of Program Filtering from “Experimental” to “BETA” after extensive OS testing,
and set enable restrictions on OS/Service Pack level where necessary.
(Program Filtering is not currently supported on Vista, but works for XP, Win7 with SP1, Win 8.x, and Win 10.)

Added TLS encryption capabilities to the email configuration, to support a more wide variety of SMTP servers for the email alerts function.

Added high priority header to email alerts.

Tweaked the installation process, no longer prompting to set “default” protections, now showing the full (non-advanced) interface
to allow the user to select one of the 4 pre-configured protection levels.

Tweaked the interface a little, explaining protection levels more clearly, and added a few more advanced options to the top menu
of the default non-advanced interface (in an attempt to make the old more complicated advanced interface largely unnecessary.)

Przed zastosowaniem aktualizacji pewnie warto trochę poczekać, aż ustabilizuje się numer wersji
(autor udostępnia kolejne aktualizacje w ciągu krótkiego czasu).

Tu jeszcze trochę opisu najnowszej wersji:

[Aby zobaczyć linki, zarejestruj się tutaj]

CryptoPrevent now supports SSL/TLS encryption and StartTLS for your SMTP server settings!
This enables support for a wider variety of SMTP servers, allowing users requiring this level of encryption to configure their email alert functionality.
Previously only SSL was supported.

[wojek]

Jest nowa wersja, v7.4.0

Lista zmian:

Vastly improved algorithms for file hash comparisons with the Program Filtering BETA functionality, and enabled a much larger definition set.

[ichito]

Dzięki...zaktualizowane

[wojek]

Kolejne dwie małe aktualizacje: v7.4.1 i v7.4.2

Lista zmian:

v7.4.2(Nov 1st 2014)

Resolved an issue with the Program Filtering BETA which caused it to incorrectly flag existing security software as a threat that matched hash definitions.

Testing resolution of an issue preventing the Program Filtering BETA from logging blocked events to the event logs.

Ja na razie stosuję ustawienia domyślne, bez tego filtrowania progamów będącego jeszcze w fazie BETA.

[ichito]

Ja na razie stosuję ustawienia domyślne, bez tego filtrowania progamów będącego jeszcze w fazie BETA.

A ja się zastanawiam, czy nie przejść na te bardziej restrykcyjne ustawienia, choć jest adnotacja, że może powodować konflikty.

[wojek]

Twoje uwagi byłyby bardzo ciekawe.Z drugiej strony, na forum CP

[Aby zobaczyć linki, zarejestruj się tutaj]

w tym wątku:

[Aby zobaczyć linki, zarejestruj się tutaj]

ktoś narzekał, że włączenie opcji w fazie BETA spowodowało u niego poważne problemy,
i co gorsza nie dało się ich odwrócić (przez wyłączenie tej opcji); u innego użytkownika wszystko było OK.
Być może obecna wersja koryguje błędy występujące w poprzednich.

--------------------------------------------------------------------------------------
O, i jest nowa wersja, v7.4.3

v7.4.3(Nov 3rd2014)

Corrected a minor bug with the blacklisting rule creation for Max protection.

[oldblues]

Czy ktoś z Was testował tego CryptoPreventa? Albo coś robię nie tak, albo to lipa.
Napuściłem na niego CryptoLockera i mi zaszyfrował pliki.



CryptoPrevent najpierw zainstalowany na ustawieniach domyślnych, a później na maximum protection



Później restart. Zaawansowanych ustawień nie ruszałem.
Dokument Test 2 został utworzony przed zainstalowaniem CryptoPreventa i został zaszyfrowany przez CryptoLockera.
Natomiast Test 4 już po instalacji CP i ten został nieruszony. We wszystkich innych lokalizacjach poza Dokumentami (np.Obrazy, Pobrane), co mógł to CryptoLocker zaszyfrował.

[wojek]

Hm, ciekawe; oczywiście wcisnąłeś przycisk ''Apply'' po instalacji CP?
Może jakiś program ogranicza Ci skuteczność zmian w rejestrze dokonywanych przez CP
(bo chroni rejestr przed zmianami)?

[ichito]

Wojek ma rację, że mogą być jakieś nadrzędne restrykcje na rejestrze lub ukryte konflikty z innym oprogramowaniem. Po drugie - nie ma programów w 100% skutecznych, co często tu na forum podkreślamy...to nie komunał - to fakt, który powinien się przekładać na nasze podejście do ochrony i późniejsze działania. Po trzecie - producent bardzo wyraźnie na swojej stronie zwraca uwagę, na zdolność blokowania kryptolokerów...fragment poniżej

There are a number of new CryptoLocker clones emerging that can also be prevented by CryptoPrevent.The majority of these are protected against by default protections in their older versions, but newer variants are coming out that can only be stopped by the Maximum Protection +Program Filtering (BETA) option, which uses a definitions based system to keep current with known malware threats.This is however a “BETA” which means it is not fully tested on all platforms.Also note this option is not available with the portable edition of CryptoPrevent.

The newer variants require the Max Protection + Program Filtering BETA because most of this stuff has figured out how to get around the original “Software Restriction Policy” based protections provided by CryptoPrevent at the Max and lower levels. It is the Program Filtering component that protects against these threats by using a pseudo-real-time filter that is definitions based.

[Aby zobaczyć linki, zarejestruj się tutaj]

[wojek]

Ukazały się kolejne wersje, jakiś czas temu v7.4.8

v7.4.8(Nov 14th 2014)
Added command line option /exefilter to enable the Program Filtering (BETA) setting.

a przed kilkoma dniami v7.4.11

Do Nowego Roku trwa promocja na CP; licencję bezterminową
na wszystkie domowe komputery można kupić za $9.95:

[Aby zobaczyć linki, zarejestruj się tutaj]

[wojek]

Po dość długiej przerwie ukazała się kolejna wersja programu, v7.4.20

v7.4.20 (April 10 2015)

Added:New extension rules for batch scripts and javascript files (*.JS, *.JSE)
as some v3 versions of Crypto-malware are using these file types as an infection method.

Redesigned:Software Restriction Policy Editor to allow resizing and longer listboxes
(previously some longer rules were not displayed entirely due to the short listboxes.)
*fonts may appear smaller this is a known issue and will be resolved in a future update*

Fixed: Block Temp Extracted Executables checkbox in the Advanced interface did not apply this setting when checked.

[Aby zobaczyć linki, zarejestruj się tutaj]

Używam tego programiku, choć trudno mi powiedzieć czy daje jakąś dodatkową
ochronę ponad to, co oferuje mi OA, AppGuard, Avira, MBAM i MBAE.

[wojek]

Do 10.V trwa promocja na licencję dożywotnią na CP Premium
za niecałe $9. Później ma być istotna aktualizacja do wersji 8
i program w wersji Premium ma podrożeć.

[Aby zobaczyć linki, zarejestruj się tutaj]