среда, 5 апреля 2017 г.

Предложите публикацию

Предложите публикацию в "Проект Anti-Ransomware"


   Вы являетесь разработчиком Anti-Ransomware или представителем компании, имеющей отдельное Anti-Ransomware решение?

  Тогда вы можете предложить свой продукт для публикации в этом проекте. Нулевые, тестовые и бета-версии не принимаются. Только финальные проверенные версии. 

  Несколько условий для публикации: 

    1) Наличие отдельного Anti-Ransomware решения.
    2) Наличие бесплатной или испытательной версии.
    3) Наличие английской и/или русскоязычной версии.
    4) Наличие руководства пользователя (ENG и/или RUS).
    5) Наличие сайта и техподдержки (ENG и/или RUS).

  Предоставьте инсталлятор, скриншоты и ссылки для публикации. 
  Если есть видеоматериалы и тест-обзоры, то приложите ссылки. 

  Для связи с нами используйте "Форму обратной связи" (см. ниже). 

  Вы также можете предложить на тест предфинальную версию. 
  Наша тестовая группа проведёт проверку на разных ПК и выдаст заключение и/или подготовит обзор. 

  Это бесплатно, но от благодарности или ссылки на наш сайт не откажемся. ;)

пятница, 10 марта 2017 г.

Anti-Ransomware Tool

Kaspersky Anti-Ransomware Tool fo Business


Сегодня всё чаще мишенью кибер-преступников, которые шифруют файлы и требуют выкуп за их восстановление или ключ дешифрования, становятся компании, организации и государственные учреждения. 

Кибер-преступникам нет дела до того, что жертвой их атаки стала некоммерческая компания, детское образовательное учреждение или больница, где проходит важная операция, а под приборами жизнеобеспечения круглосуточно находятся критические больные. Им это безразлично, т.к. они проводили атаку для того, что получить выкуп, и чем больше учреждение и больше файлов оказалось в заложниках, тем больше они захотят денег за выкуп. 

Потому, в таких случаях, не надо уповать на милосердие преступников и вести с ними переговоры. Надо сразу звонить или писать заявление в местное Управление "К" МВД России или территориальный орган МВД России. Это их работа "общаться" с преступниками.


Превентивные меры


Атаку шифровальщиков-вымогателей легче предотвратить, чем страдать от последствий. Для этих целей, в "Лаборатории Касперского" выпустили новое программное решение под названием Kaspersky Anti-Ransomware Tool fo Business. 

Это инструмент безопасности для бизнеса, способный блокировать вымогателей на компьютерах, работающих под управлением ОС Windows. Предназначены для предприятий, которые не используют другие программы "Лаборатории Касперского" и доступен для бесплатного скачивания на официальном сайте.

👉 Обратите внимание, чтобы получить этот продукт бесплатно, вам необходимо заполнить форму на сайте, который запрашивает фамилию, имя, номер телефона, email-адрес, название компании, страну и количество рабочих станций. 

Страница и сама программа на английском языке! 
Файл справки доступен только после установки! 


 
Начальное и конечное окно установщика

Kaspersky Anti-Ransomware Tool fo Business (KARTB) совместим с другим защитным программным обеспечением безопасности, при условии, что это не другие программы "Лаборатории Касперского", с которыми он как раз и не совместим.

KARTB работает в фоновом режиме, контролируя программную деятельность в системе. При обнаружении вредоносного ПО, он автоматически блокирует его и добавляет в список заблокированных приложений (Blocked Applications). 

Можно самостоятельно добавить в список доверенных приложений (Trusted Applicationsлюбую нужную программу, например, один из модулей другой антивирусной программы. 

KARTB использует собственную сигнатурную базу и технологию Kaspersky Security Network, основанную на облачной работе, объединяющей информацию от пользователей всех продуктов "Лаборатории Касперского".

👉 Для выявления характерного поведения программ-вымогателей инструмент KARTB использует две технологии: Kaspersky Security Network и «Мониторинг активности».

Возможно, что перед блокировкой, вредоносная программа может успеть произвести нежелательные действия в операционной системе: создать или распаковать свои файлы или изменить файлы, находящиеся в системе, или сделать какие-то изменения в реестре Windows. Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений в системе. В него входит восстановление измененных файлов или внесение изменений в реестре Windows. 

Основные возможности KARTB:
Бесплатное и довольно легкое программное решение;
Обнаружение на уровне бизнес-решений (KES for Windows);
Технологии защиты: файловый антивирус + Мониторинг активности;
Совместимость со сторонними антивирусными решениями;
Поддержка популярных систем: от Windows 7 до последних Windows 10;
Отправка по email администратору отчётов об обнаружении. 

Поддерживаемые операционные системы: 
Microsoft Windows 7 Starter x32 SP 1 и выше, Microsoft Windows 7 Home Basic SP 1 и выше, Microsoft Windows 7 Home Premium SP 1 и выше, Microsoft Windows 7 Professional SP 1 и выше, Microsoft Windows 7 Ultimate SP 1 и выше, Microsoft Windows 8, Microsoft Windows 8 Pro, Microsoft Windows 8 Enterprise, Microsoft Windows 8.1 (Windows 8.1 Update), Windows 8.1 Pro (Windows 8.1 Update), Windows 8.1 Enterprise (Windows 8.1 Update), Microsoft Windows 10 Home, Microsoft Windows 10 Pro, Microsoft Windows 10 Enterprise.


Официальная страница утилиты:
https://go.kaspersky.com/Anti-ransomware-tool.html
Видеоролики с KARTB:
Стресс-тестирование программы: https://www.youtube.com/watch?v=CuzbRj_JgSw
Установка и пример работы: https://www.youtube.com/watch?v=0pHuvMm30SI
Ссылка на загрузку утилиты:
https://special.s.kaspersky-labs.com/j4xk0a1v50po5nlwhog0/anti_ransom_installer.msi

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 6 февраля 2017 г.

CryptoSearch

CryptoSearch


CryptoSearch — это инструмент, который может помогает выяснить с помощью какого конкретного крипто-вымогателя (шифровальщика) были зашифрованы файлы, и позволяет скопировать или переместить файлы в другое место для архивирования в надежде на дешифрование когда-либо в будущем. Он связан с ID Ransomware и тоже сделан его разработчиком Майклом Гиллеспи.
CryptoSearch: файлы
Файлы CryptoSearch

Файлы CryptoSearch (слева направо): лог программы, исполняемый файл и данные, полученные из службы ID Ransomware. 

CryptoSearch не требует установки в систему. Достаточно только запуска исполняемого файла. 

CryptoSearch работает совместно со службой ID Ransoware, потому при запуске приложения компьютер должен быть подключен к Интернету. При запуске CryptoSearch будет запрашивать службу ID Ransomware, чтобы получить данные, необходимые для идентификации типа вымогателя, который блокировал компьютер пользователя. Эти данные обновляются ежедневно. 

В обновлённой версии имеется автономный режим, когда утилита уже использует внутреннюю базу данных ID Ransomware. Потому вновь скачанный CryptoSearch можно использовать на компьютерах, не подключенных к Интернету.
CryptoSearch: ЭЦП
Сведения о цифровой подписи и сертификате
CryptoSearch: Главное окно
Главное окно программы

Можно использовать CryptoSearch для ручного поиска конкретного расширения или байта данных путём использования параметров поиска.
CryptoSearch: Выбор шифровальщика
Меню выбора Ransomware из списка

Можно самостоятельно задать поиск по известному расширению, добавляемому шифровальщиком к зашифрованным им файлам. 
CryptoSearch: Выбор по расширению
Выбор поиска по расширению

Опции, доступные через галочки справа и радио-кнопки рядом с кнопкой Search (Поиск):
List Files — список зашифрованных файлов, которые выводятся столбиком;
List Clean folders — список чистых папок, которые не имеют зашифрованных файлов;
Search Directory - поиск в каталоге, указанном вручную;
Search Computer - поиск по всему компьютеру (проверка побуквенно всех дисков, в том числе сетевых). 

После того, как сканирование будет завершено, в меню "Файл" появятся следующие опции:
Export List  - сохраняет список зашифрованных файлов в текстовый файл;
Archive Files - позволяет копировать или перемещать зашифрованные файлы в другое место для архивного сохранения, в надежде на расшифровку в будущем. 
CryptoSearch: Архивное копирование
Опции меню "Файл"

При выборе опции "Archive Files" программа просит:
"Move Files? Would you like to move files to the destination folder? Press "No" to copy files."
CryptoSearch: Диалог

Перевод на русский язык:
"Переместить файлы? Вы точно хотите переместить файлы в выбранную папку? Нажмите "Нет" для копирования файлов."

На следующем примере видно, что собранные файлы сохраняют полную структуру папок, включая букву диска. Например, эти файлы были перемещены в "C:\Backup\C:\Test\...".
CryptoSearch: Архивное охранение
Архивное сохранение завершено



ВАЖНО! CryptoSearch не расшифровывает данные. Шифровальщики, которые не добавляют ни расширения, ни маркера к зашифрованным файлам, не будут определены CryptoSearch. Пока, во всяком случае. 

Всё. Теперь с помощью CryptoSearch вы можете:
а) узнать, каким известным шифровальщиком были зашифрованы ваши файлы;
б) избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch. 


Официальная страница утилиты:
https://www.bleepingcomputer.com/forums/t/637463/cryptosearch-find-files-encrypted-by-ransomware/
Ссылка на загрузку утилиты:
https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 25 января 2017 г.

RansomFree

RansomFree by Cybereason


RansomFree — бесплатный поведенческий анти-вымогательский инструмент от компании Cybereason. Предназначен для работы на компьютерах, работающих под управлением ОС Windows 7, 8, 10, Windows Server 2008 R2, 2012 R2. Бесплатен для организаций и частных лиц. 
Инсталлятор и логотип
RansomFree
Информация о файле инсталлятора

Специалисты компании Cybereason исследовали более 40 вымогателей, в их числе Locky, Cryptowall, TeslaCrypt, Jigsaw, Cerber и определили поведенческие модели, которые отличают вымогателей от легитимных приложений. Не имеет значения, кто создал программу-вымогатель, преступная группа или одиночка, все крипто-вымогатели зашифруют столько файлов, сколько смогут. Они сами не могут определить, какие файлы имеют важное значение, и шифруют все на основании заданных расширений файлов.

RansomFree защищает от локального шифрования файлов, от шифрования на сетевых или общих дисков. Шифрование общих файлов является одним из самых ужасных сценариев для организация. Если только один сотрудник допустит промашку и запустит шифровальщик на выполнение, это поставит под удар всю компьютерную сеть компании, а убытки могут привести к банкротству.  

RansomFree ловит как автономных крипто-вымогателей, так и бестелесных. Автономные вымогатели использует уязвимости в ОС и приложениях, а бестелесные используют в работе легитимные инструменты Windows, такие как язык сценариев PowerShell или JavaScript, чтобы реализовать свои вредоносные намерения. 

RansomFree не зависит от вирусных сигнатур, как традиционные антивирусные решения, потому не нуждается в частом обновлении и не требует обязательного подключения к Интернету для своей работы. 

RansomFree, работающий как дополнение к основной антивирусной защите ПК, останавливает вредоносную активность крипто-вымогателей, шифрующих локальные и сетевые диски, общие файлы и внешние хранилища. 

RansomFree сможет помочь даже в том случае, если вирус уже пробрался на ПК и начал своё грязное дело. RansomFree способен обнаруживать подозрительные дисковые операции и блокировать шифрование пользовательских файлов или всего диска.

RansomFree предназначен для защиты от шифровальщиков-вымогателей. Он не может расшифровать файлы, которые уже были ранее зашифрованы каким-то шифровальщиком.

RansomFree разработан, чтобы остановить только шифрование файлов крипто-вымогателями. Поэтому иногда записки о выкупе, изображения, таймеры отсчета и другие визуальные эффекты, создаваемые при работе вредоносных программ, могут появиться, но не причинят никакого вреда.

RansomFree является идеальным бесплатным анти-вымогательским решением для малого бизнеса, магазинов, юридических фирм, полицейских и пожарных департаментов, органов власти и муниципальных предприятий, некоммерческих организаций, банков, медицинских учреждений и частных клиник, учреждений школьного, дошкольного и дополнительного образования. 


Установка и использование RansomFree


 
Начальное и конечное окна установки

RansomFree
Первое информативное окно после установки
RansomFree
Второе информативное окно после установки

 
Специальная папка RansomFree и её содержимое



После установки RansomFree создает специальную папку-ловушку на вашем Рабочем столе. Она имеет логотипную иконку и называется "This folder protects against ransomware. Modifying it will reduce protection" (перевод: "Эта папка защищает от вымогателей. Изменение её приведёт к снижению защиты"). 


Если вы заметили по иконкам в трее, то я протестировал работу RansomFree совместно с другими инструментами Anti-Ransomware. Справа от иконки RansomFree в трее расположены иконки AppCheck, BD Anti-Ransomware, потом утилита Lightshot для скриншотов и Norton Security. Все они прекрасно сочетаются, не грузят систему и не конфликтуют. Но это не значит, что также нужно делать всем. Я лишь сделал тест и не собираюсь навешивать анти-вымогательские утилиты друг на друга. Достаточно выбрать один Anti-Ransomware и один антивирусный инструмент класса не ниже Internet Security. 



Как работает защита RansomFree


Совмещая несколько методов обмана крипто-вымогателей, RansomFree обнаруживает их, как только начинается шифрование на ПК или сетевом диске. После обнаружения шифрования RansomFree приостанавливает его процесс, отображает всплывающее окно, которое предупреждает пользователя о том, что его файлы находятся в опасности и позволяет ему самому становить атаку.
RansomFree
Окно обнаружения угрозы


Подробности о файле угрозы

Подробности о файле угрозы можно просмотреть по ссылке "View affected files >". 

Если вы не знаете ничего об этой угрозе, мы рекомендуем вам нажать кнопку "Yes" (Да), чтобы остановить и очистить угрозу. RansomFree запоминает ваш выбор и потом уже автоматически остановит его повторное выполнение. Но, если вы решили позволить угрозе выполнение, то RansomFree, предупредив вас об этом конкретном файле, позволит ему работать. Как говорится, наше дело предупредить. 

В любом случае, мы рекомендуем вам проверить ваши файлы и убедиться, что они не были зашифрованы. Зашифрованные файлы обычно имеют другое расширение, могут быть переименованы в непонятной кодировке и не могут быть прочитаны или просмотрены средствами Windows. 
RansomFree

Вы можете отменить свой выбор в любое время, если щелкните правой кнопкой мыши на значке RansomFree в системном трее и выберите опцию "Clear history" (Очистить историю). RansomFree снова остановить выполнение того файла, которому вы прежде разрешили выполнение. 

💫💫💫

Пользуясь случаем хотим дать вам ещё несколько полезных рекомендаций. 

Сделайте ряд практических и превентивных шагов для защиты от крипто-вымогателей: 
1. Регулярно делайте бэкап важных файлов и проверяйте работоспособность бэкапа. 
2. Держите вашу операционную систему, защиту и браузеры в актуальном состоянии. 
3. Удалите Java и Flash-плагины, т.к. они уязвимы и используются злоумышленниками. 
4. Никогда не загружайте программное обеспечение из сомнительных и неофициальных сайтов. 
5. Не открывайте email-вложения или не нажимайте на подозрительные ссылки в письмах. 
6. Используйте анти-вымогательские инструменты, например, описанный здесь RansomFree.

Обновление от 12 мая 2017:
Cybereason RansomFree блокирует атаку шифровальщика WannaCry (WanaCrypt0r) основываясь исключительно на поведенческом обнаружении. 


Официальная страница утилиты:
https://ransomfree.cybereason.com/
...
Официальные страницы загрузки:
https://ransomfree.cybereason.com/download/
https://ransomfreedownload.cybereason.com/CybereasonRansomFree.msi
Страницы видеодемонстраций и тестов  
Официальная: https://www.youtube.com/watch?v=nr1w2mrOpto Альтернативная: https://www.youtube.com/watch?v=8irjdt0okg8


© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 5 января 2017 г.

AppCheck

AppCheck Pro

Anti-Ransomware Solution 


AppCheck и AppCheck Pro — инструменты категории Anti-Ransomware Solution для автоматической защиты системы от вымогательского ПО в ОС Windows 7 SP1 или более поздних.



Инсталлятор AppCheck

Основные языке программы корейский и английский. В будущем планируются и другие языковые версии.

Разработчики, компания CheckMAL сообщают о совместимости с антивирусным ПО. 

В AppCheck Pro заявлено обеспечение трёхуровневой защиты: Proactive Defense, Ransom Guard и Ransom Shelter и Auto Backup.


Proactive Defense - это проактивная защита

Ransom Guard и Ransom Shelter - это защита от выкупа
Auto Backup - это автоматический бэкап


Установка и использование AppCheck и AppCheck Pro


AppCheck
Начальное окно установки

AppCheck
Главное окно AppCheck

Версия AppCheck Pro отличается от бесплатной наличием расширенного функционала, в их числе Auto Backup, защита MBR, защита общих сетевых папок, автоматическое удаление обнаруженных Ransomware, которые в обычной версии отключены. 


AppCheck
Окна настроек AppCheck


Примечательно, что в бесплатной версии работает Auto Backup для дисков и флешек. Так, я заметил, что когда я вношу изменения в какой-то тестовый файл на флешке или удаляю какой-то файл с флешки, то утилита заботливо сохраняет оригинальную версию в специальную папку Backup(AppCheck)

Я заметил, что такая же папка создаётся и на системном диске. В ней сохраняются файлы в папках, которые я перемещал или удалял. Вот такой вот авто-бэкап. 
Чтобы удалить эти папки и файлы за ненадобностью, надо отключить защиту в реальном времени, а уже потом удалять. 

В текущей версии автоматически защищаются 46 типов файлов:
7z, ai, bmp, cer, crt, csv, der, doc, docx, dwg, eps, gif, hwp, jpeg, jpg, key, lic, mp3, ods, odt, ogg, one, p12, p7b, p7c, pdf, pef, pem, pfx, png, ppt, pptx, psd, ptx, rdp, rtf, srw, tif, tiff, txt, uti, x3f, xls, xlsx, xps, zip.

Пользователь может расширить этот список самостоятельно. 

AppCheck: Scan
Для запуска проверки нужно кликнуть по центральному кружку. Остановка тем же способом. 
AppCheck: Warning
Результаты проверки можно видеть в том же окне или открыть лог проверки. 

Вся работа почти прозрачна для пользователя. При автоматическом обнаружении атаки Ransomware, вредонос должен прихлопываться на лету. 
Во всяком случае на видео-демонстрациях с различными крипто-вымогателями это можно увидеть. 


Официальная страница утилиты:
https://www.checkmal.com/en/
...
Официальная справка (на корейском):
https://www.checkmal.com/page/support/help/
Страницы видеодемонстраций и тестов
Альтернативная: https://www.youtube.com/watch?v=n3YFKFgAhO8 Официальная: https://www.checkmal.com/page/resource/video/?@&p=1&pc=100
© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 15 декабря 2016 г.

Anti-Exploit

Anti-Exploit by Malwarebytes 


   Сегодня только антивируса недостаточно для защиты от новейших эксплойтов, так называемых угроз 0day (нулевого дня), для которых не существует сигнатур. Поэтому Malwarebytes разработали решение Anti-Exploit в двух версиях Free и Premium, которые противостоят эксплойтам, защищая как популярные браузеры, так и другие приложения.
Инсталлятор и логотип
Anti-Exploit
Информация о файле инсталлятора

Предназначен для работы на компьютерах, работающих под управлением ОС Windows 7, 8, 10, Windows Server 2008 R2, 2012 R2.
Версия Premium стоит 25 долларов на 3 ПК.

Уже ни для кого не секрет, что трояны-шифровальщики и прочее вымогательское ПО используют для осуществления своих атак наборы эксплойтов и JavaScript. Антивирусные компании только недавно с запозданием взялись дополнять свои продукты защитой от эксплойтов. В Anti-Exploit by Malwarebytes всё это уже реализовано, настраивается и работает. Более того, совместимо с антивирусными продуктами и успешно дополняет их. 

Для защиты от использования уязвимостей в Anti-Exploit используются инновационные запатентованные технологии ZeroVulnerabilityLabs, предотвращающие проникновение вредоносных эксплойтов на ваш ПК. В середине 2013 года Malwarebytes приобрёл компанию ZeroVulnerabilityLabs, специализировавшуюся на защите от эксплойтов и уязвимостей, что позволило выпустить новую программу для защиты от эксплойтов Malwarebytes Anti-Exploit. 

Malwarebytes Anti-Exploit включает в себя экраны для всех основных браузеров (Internet Explorer, Mozilla Firefox, Chrome, Opera) и браузерных компонентов Java, Adobe Reader, Flash, Shockwave. ПО Anti-Exploit блокирует такие комплекты эксплойтов, как Blackhole, Sakura, Phoenix, Incognito, не требуя никаких обновлений сигнатур. 

Пользователю ничего не нужно специально изучать, Anti-Exploit — это решение "поставил и забыл".

Различия между Free и Premium: 
• Free-версия защищает только браузеры Internet Explorer, Mozilla Firefox, Chrome, Opera, браузерные расширения и Java, другие опции закрыты (см. пиктограмму "замочки");
Anti-Exploit

• Premium-версия открывает все реализованные в программе уровни защиты и позволяет управлять пользовательскими уровнями ("замочки" закрыты - защита под замком). 


Установка и использование Anti-Exploit

Anti-Exploit
 Начальное и конечное окна установки

При установке предлагается сразу испытать возможности Premium-версия (стоит галочка на опции Premium-триал) или отказаться и снять галочку на триальной версии. Иначе сразу установится Free-версия. 

Я заметил два упущения разработчиков: 
а) нет возможности отключить триал и начать использовать Free-версию;
б) если удалить Premium, чтобы по желанию установить Free-версию, то опция с предложением использовать или отключить Premium-версию уже не появляется. 


Anti-Exploit
 Главное окно и окно "О программе" с указанием версии программы


Anti-Exploit: Setting
Окно "Settings" (Настройки)


 Подокна "Anvanced settings" (Расширенные настройки)

В расширенных настройках можно настраивать защиту, включая или отключая защиту от тех или иных эксплойтов. Также можно сбросить настройки на умолчательные. 

Обновление: 
Теперь эта программа входит в пакет Malwarebytes 3.0 Premium и является частью комплексного средства защиты от самых совершенных угроз.

Официальная страница утилиты:
Английская: https://www.malwarebytes.com/antiexploit/
Русская: https://ru.malwarebytes.com/antiexploit/
Страница загрузки 
https://data-cdn.mbamupdates.com/web/mbae-setup-1.09.1.1291.exe
© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 20 октября 2016 г.

MBRFilter

MBRFilter by Cisco Talos 


   Master Boot Record (MBR) является самой важной структурой диска. Этот сектор создаётся при разбиении диска на разделы. В секторе MBR расположены небольшой код, называемый Master Boot Code (Bootstrap Code), а также сигнатура диска и таблица разделов Partition Table. 
MBR
В конце сектора MBR располагается двухбайтовая структура Boot Signature, указывающая на конец сектора. Она имеет значение 0x55AA. Сигнатура диска — это уникальное число, расположенное по смещению 0x01B8 и позволяющее операционной системе однозначно определить данный диск. Каждый жёсткий диск содержит сектор MBR, но загрузочный код используется только на дисках, имеющих активный первичный раздел.

Вымогатели, перезаписывающие Master Boot Record (MBR), пока мало распространены, но их вредоносная атака может иметь катастрофические последствия для данных, находящихся на жестких дисках ПК. 

Чтобы защитить ПК от этих типов вредоносных программ, Cisco Talos выпустила драйвер MBRFilter для Windows. Он находится в режиме ожидания программ, пытающихся изменить или зашифровать Master Boot Record, и блокирует их. 

Этот MBRFilter блокирует работу только шифровальщиков, изменяющих MBR, но не защищает от обычных шифровальщиков файлов и от комбинированных вроде Petya+Mischa, где второй компонент Mischa запускается, когда не удалось запустить Petya, и шифрует файлы в системе. 


Установка MBRFilter

Для установки MBRFilter, скачайте с представленных внизу страниц х32 или х64-версию MBRFilter, в зависимости от типа вашей ОС.  

После загрузки, извлеките их в папку. Вы увидите два файла, inf-файл, который называется MBRFilter.inf, а сам драйвер - файл MBRfilter.sys. 

Откройте контекстное меню правой кнопкой мыши на файле MBRFilter.inf и выберите там команду "Установить" (Install). 
MBRFilter

После того, как драйвер будет установлен, Windows предложит вам перезагрузить компьютер. 

После перезагрузки компьютера драйвер будет защищать ваш MBR от изменения вредоносами. 

Теперь, если крипто-вымогатель, или другая инфекция, попытаются изменить MBR вашего диска, то драйвер перехватит запрос и блокирует его действия. Будет отображено сообщение, как показано ниже, подтверждающее то, что действия вредоноса заблокированы.
MBRFilter

Ниже можно просмотреть видеоролик, демонстрирующий, что происходит, когда мы пытаемся запустить в системе, где уже установлен MBRFilter, шифровальщики Satana, Petya, и Petya+Mischa.

Всё. Теперь защита MBR обеспечена. 

Удаление MBRFilter

Чтобы удалить MBRFilter, выполните следующие действия:
- Откройте системный редактор реестра. 
- Откройте раздел
HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}
- Удалите строку MBRFilter из раздела реестра UpperFilters (только MBRFilter, т.к. здесь могут быть другие драйверы диска). 
Для этого правым кликом на параметре UpperFilters откройте контекстное меню и выберите пункт Изменить. 
В появившемся окне просто удалите строку MBRFilter и нажмите OK.
- Перезагрузите ПК.

Всё. Теперь MBRFilter отключен и защиты MBR нет. 



Страницы загрузки фильтра:
Официальная: https://github.com/vrtadmin/MBRFilter
Запасная: https://yadi.sk/d/xlOQnHUi3C85yB
Видео-демонстрация от BleepingComputer.com
https://www.youtube.com/watch?v=WO-YFP5EuO4
© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 14 июня 2016 г.

RansomNoteCleaner

RansomNoteCleaner


RansomNoteCleaner — инструмент для автоматической очистки системы от вымогательских записок, оставленных известными вариантами криптовымогателей. Он связан с ID Ransomware и тоже сделан его разработчиком Майклом Гиллеспи.

Времена, когда криптовымогатели оставляли одну или несколько записок с требованием выкупа, давно прошли. Сейчас таких записок может быть раскидано по системе немереное количество: на каждом диске, в каждой папке, а недавно наметилась тенденция делать записку о выкупе на каждый зашифрованный файл, а порой даже используя имя зашифрованного файла. Более того, даже после дешифрования файлов избавляться от них нужно было вручную. Но теперь это будет сделать легче и быстрее. 

Принцип работы RansomNoteCleaner довольно прост: при запуске получить базу онлайн, выполнить поиск по выбранному вами Ransomware, получить результат и выбрать, что нужно удалить. 
RansomNoteCleaner

Журнал удалённых записок о выкупе сохраняется в файл "RansomNoteCleaner.log" в той же папке, откуда вы будет запускать RansomNoteCleaner.

Т.к. для работы утилиты требуется подключение к базе Ransomware, то ваш брандмауер может выдать примерно такое предупреждение.
Окно предупреждения Norton Interner Security

В окне указаны причины и автоматически выбран рекомендуемый параметр "Всегда разрешать" - ОК. 

Пример работы с утилитой
Выбор места для поиска, например, папка "Документы"
Просмотр найденной записки и её выбор для удаления
Результат очистки: появление надписи Clean! (Очищено)

Разработчик обещает обновлять и развивать этот дополнительный инструмент. На данный момент продукт обновлен до версии 0.9.3.0.
RansomNoteCleaner
Окно "О RansomNoteCleaner"


Официальная страница утилиты:
https://www.bleepingcomputer.com/forums/t/617257/ransomnotecleaner-remove-ransom-notes-left-behind/
Ссылки на загрузку утилиты:
Официальная: https://www.bleepingcomputer.com/download/ransomnotecleaner/
Запасная: https://yadi.sk/d/7QRUjYcH3AdUQL
© Amigo-A (Andrew Ivanov): All blog articles.

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *