CryptoPrevent - ochrona przeciw porwaniom

[wojek]

Niestety, mój zestaw bezpieczeństwa nie jest kompatybilny z HitmanPro.Alert;
na forum Wilders Security znalazłem kilka opinii osób o podobnej jak moja
konfiguracji, które też mają ten problem.

Dlatego szukałem innego sposobu, który zapobiega szyfrowaniu plików
i wymuszaniu okupu przez złośliwe oprogramowanie typu CryptoLocker.

Znalazłem programik o nazwie CryptoPrevent:

[Aby zobaczyć linki, zarejestruj się tutaj]

tu można obejrzeć jego działanie:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

na naszym forum ktoś o nim już wspominał, ale bez szczegółów.

Ogólnie, program zmienia wpisy w rejestrze, co skutkuje brakiem wykonania
plików wirusa/trojana/malware.Nie obciąża pamięci i procesora, przynajmniej bezpośrednio.

Jeśli ktoś ma uwagi i spostrzeżenia na temat CryptoPrevent, to proszę je wpisywać.

[Eugeniusz]

Wstydziłbym się programować w dzisiejszych czasach w Visual Basicu.

[wojek]

ja w ogóle nie programuję, może odrobinę w mql, ale to zupełnie inna bajka

[wojek]

Ukazała się nowa wersja tego sympatycznego programiku, v4.3.2;
aktualizacja ręczna z GUI (Updates), potem trzeba zastosować
ochronę przez wciśnięcie przycisku ''Apply'' (+ oczywiście reboot).

[ichito]

Widziałem program na kilku portalach podczas weekendu...ciekaw jestem, jak ze skutecznością i czy działa w tle cały czas jak HMPA?

[wojek]

Z tego, co rozumiem, przy zastosowaniu swojej ochrony program
jednorazowo wyłącznie zmienia pewne wpisy w rejestrze.
Utworzone zostają reguły, które odnoszą się do najbardziej charakterystycznych
dla określonych szkodników sposobów egzekucji, i uniemożliwiają aktywację
niepożądanych plików.

Więcej i bardziej szczegółowo na ten temat można przeczytać
pod nagłówkiem Prevention Methodologytutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dlatego program nie obciąża ani RAM ani CPU
(chyba że powstałe zmiany w rejestrze opóźniałyby jakoś działanie OS;
ja tego nie stwierdziłem, ale też i możliwości diagnostyczne mam niewielkie).

A więc jest to zupełnie inny sposób działania niż np. HMPA,
który cały czas działa w tle jako proces.Dzięki temu, CryptoPrevent wydaje się być
stosunkowo bezkonfliktowy, poza szczególnymi przypadkami;
ja nie zauważyłem u siebie żadnych negatywnych objawów przez ok. 2 miesiące jego stosowania.

Co do skuteczności, to wiem tylko tyle co pokazano na filmikach w youtube,
zalinkowanych w pierwszym poście wątku.

Co istotne, program jest ''żywy'', w tym sensie że się rozwija,
więc może być na bieżąco z pojawiającymi się nowymi mechanizmami infekcji.

[ichito]

Dzięki Wojek za obszerne wyjaśnienia...ten programik wygląda bardzo obiecująco, choć jego funkcjonalność wobec HMPA nie jest aż tak obszerna.

[wojek]

jego funkcjonalność wobec HMPA nie jest aż tak obszerna

Z pewnością, choć HMPA wydaje mi się być dość inwazyjny, i wpada czasami w konflikty
z różnymi programami bezpieczeństwa.Ostatnio poprawiono działanie napędu minifiltra
(minifilter driver dla modułu CryptoGuard), który mógł być przyczyną niektórych problemów,
konfliktów i niekompatybilności.

[wojek]

Przed kilkoma dniami była kolejna mała aktualizacja 4.3.3 ; szczegóły w linkach j.w.
Zmiany w ostatnich dwóch wersjach:

v4.3.3 – updated digital signature on CryptoPrevent executables.
v4.3.2 – added support for redirected %appdata% directories (Windows folder redirection typically only used on larger networks.)

[wojek]

Nowa wersja 4.4.1wyszła dzisiaj
zmiany:

v4.4.1 – added ability to block syskey.exe from execution, which is being exploited by some new malware.

[ichito]

Bardzo ładnie...aż się skuszę zamienić HMPA na CP

[wojek]

HMPA i CP mają na tyle różne mechanizmy działania/ochrony,
że można stosować oba programy, o ile oczywiście lubi się wielowarstwową ochronę.
Zwłaszcza, że CP nie obciąża w sposób czynny komputera (CPU, RAM, procesy, usługi, itd.).

Mnie skutecznie ogranicza OA, więc na razie odpuszczam te fajne wynalazki typu HMPA, NoVirusThanks czy ReHIPS.

[wojek]

Ukazała się kolejna, długo oczekiwana nowa wersja programu, 4.7
oto opis zmian:

v4.7 – Added blocking of fake file extensions with spaces in them to hide the extension.
Added blocking of cipher.exe along with syskey.exe, for the potential abuse.
Added ability to create custom block and allow policies with scripting support.
(for documentation consult the forums here.)

W tej wersji można wprowadzać własne reguły blokowania (np. wszystkich plików wykonywalnych ze słowem ''toolbar'');
krótka instrukcja wraz z ważnymi uwagami co do ewentualnego usuwania wprowadzonych reguł jest pod linkiem:

[Aby zobaczyć linki, zarejestruj się tutaj]

Niestety, opcja definiowania własnych reguł jest dostępna tylko w wersji płatnej programu
(jednorazowa płatność w promocji do 31 maja: $11.95).

[wojek]

I kolejna wersja, 4.7.2, ze zmianami:

v4.7.2-Added bcdedit.exe and vssadmin.exe to the blocked executables action
“Prevent system executables from running” along with syskey.exe and cipher.exe
(with a new command line parameter /blocksysfiles that covers them all.)
Reorganized the interface a bit and added a little description.

Promocja dla wersji Premium (m.in. automatyczne aktualizacje, tworzenie własnych reguł blokujących)
przedłużona o miesiąc, do 30 czerwca. Więcej informacji tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

[wojek]

Z kronikarskiego obowiązku pozwolę sobie poinformować, że:
pojawiła się dawno nie widziana kolejna aktualizacja programu, 5.0.0
Oto zmiany:

v5.0-Added hash based blocking system.

EDYCJA:
Nie nadążam, jest już wersja 5.1.0

v5.1-Tons of UI and usability tweaks.Added more hash values to internal block lists.

[wojek]

Wersja 5.2.0

v5.2-Added automated protection test after reboot if you select to reboot after applying protection.
Some UI and usability tweaks.Added a link to the help forums in the Premium Edition’s Information menu.
Finally added Steve Basford (Sanesecurity) to the credits!

Chyba warto zaczekać kilka dni, aż sytuacja z ciągłymi aktualizacjami się ustabilizuje.

[wojek]

Sytuacja z częstymi aktualizacjami chyba się uspokoiła.

v5.2.2-Fixed a setting not being remembered correctly on program relaunch.
Added some email features for the Bulk Premium custom installers.
v5.2.1-separated Prevent BCDEDIT.EXE option from the default protection settings, and put it in the Advanced menu.
It was interfering with some backup applications..

Ciekawe są zapowiedzi rozwoju programu:

As you may have heard, there was a recent DoJ/FBI take down of the main network of criminals responsible
for distributing the CryptoLocker malware.This does not mean the end of ransomware threats,
so CryptoPrevent has been updated several times since the take down, and it will continue to be updated as I can do it.
There are several copycats out there (CryptoWall/CryptoDefense) that must be addressed, and don’t forget that due to
the way CryptoPrevent works and all the rule sets it creates, it actually does stop a lot of trojan based malware not just CryptoLocker.

I think there is a strong need for the product to be continually improved upon, now more than ever!
Improvements are still being made to CryptoPrevent with some neat ideas in the pipeline for the end user experience,
and there are currently plans for some powerful new protections to be added in the near future,
though most will be entirely optional and designed for the person who wants more control over their OS.

[wojek]

Kolejna wersja, 6.0.0
Zmiany:

v6.0-CryptoPreventis no longer based solely on Windows software restriction policies, and now includes a real-time filter and definitions files/updates!

New ‘Filter Module’ that can filter certain executables against hash based definitions,
can also filter based on other criteria using a more complex rule set, and allow user the option to run the file anyway.
Enabled for CPL, SCR, and PIF files by default – advanced options allow to enable for EXE/COM files also (experimental!)

New Policy Editor for software restriction policies, create your own custom path rules (premium feature.)You can also view, search, and selectively delete blacklist policies in effect.

User defined hash rules for MD5/SHA256 (meaning, you can create your own hash based definitions for the Filter Module.)

Separated all main protection policies so they may be individually applied or removed.

Added policy to disable Windows Sidebar/Gadgets due to security vulnerabilities.

Daily updates are now for the new definitions, and a new weekly schedule will be created for application updates.

New email options for bulk premium custom installers.

Pojawiają się ochrona w czasie rzeczywistym i codzienne aktualizacje formuł ochrony (cokolwiek to znaczy).

[Aby zobaczyć linki, zarejestruj się tutaj]

[wojek]

Kolejne dwie małe aktualizacje do obecnej wersji 6.0.2

v6.0.2-Fix for running certain screen savers with .SCR filtering enabled.
v6.0.1-Minor UI tweaks and added some additional information and links to the interface.

Może wystąpić konflikt, FP, czy brak kompatybilności przy skanowaniu MBAM i ew. innymi tego typu programami bezpieczeństwa,
więc można dodać CP do wyjątków w tych aplikacjach:

[Aby zobaczyć linki, zarejestruj się tutaj]

[wojek]

Wersja 6.1.0
zmiany:

v6.1
Improved Recycle Bin executable protection.

Added feature to remove ALL software restriction policies (created by CryptoPrevent or not) from the Advanced > Software Restriction Policies menu.

Added feature to block %localappdata%\* in Advanced menu > Software Restriction Policies (max protection, but this includes a block on %temp%
so it may cause issues with legitimate apps; generally not recommended.)

Added ability to install (or force install) from CryptoPrevent portable and uninstall/force uninstall from the installed version.
Force option is only offered if standard methods fail. Not 100% perfect so only use the force option if absolutely necessary (e.g. the installer won’t run due to access denied errors.)

Bulk Installers now have the option of creating custom whitelist rules during installation.

Misc tweaks.

[Aby zobaczyć linki, zarejestruj się tutaj]