четверг, 15 декабря 2016 г.

Anti-Exploit

Anti-Exploit by Malwarebytes 


   Сегодня только антивируса недостаточно для защиты от новейших эксплойтов, так называемых угроз 0day (нулевого дня), для которых не существует сигнатур. Поэтому Malwarebytes разработали решение Anti-Exploit в двух версиях Free и Premium, которые противостоят эксплойтам, защищая как популярные браузеры, так и другие приложения.
Инсталлятор и логотип
Anti-Exploit
Информация о файле инсталлятора

Предназначен для работы на компьютерах, работающих под управлением ОС Windows 7, 8, 10, Windows Server 2008 R2, 2012 R2.
Версия Premium стоит 25 долларов на 3 ПК.

Уже ни для кого не секрет, что трояны-шифровальщики и прочее вымогательское ПО используют для осуществления своих атак наборы эксплойтов и JavaScript. Антивирусные компании только недавно с запозданием взялись дополнять свои продукты защитой от эксплойтов. В Anti-Exploit by Malwarebytes всё это уже реализовано, настраивается и работает. Более того, совместимо с антивирусными продуктами и успешно дополняет их. 

Для защиты от использования уязвимостей в Anti-Exploit используются инновационные запатентованные технологии ZeroVulnerabilityLabs, предотвращающие проникновение вредоносных эксплойтов на ваш ПК. В середине 2013 года Malwarebytes приобрёл компанию ZeroVulnerabilityLabs, специализировавшуюся на защите от эксплойтов и уязвимостей, что позволило выпустить новую программу для защиты от эксплойтов Malwarebytes Anti-Exploit. 

Malwarebytes Anti-Exploit включает в себя экраны для всех основных браузеров (Internet Explorer, Mozilla Firefox, Chrome, Opera) и браузерных компонентов Java, Adobe Reader, Flash, Shockwave. ПО Anti-Exploit блокирует такие комплекты эксплойтов, как Blackhole, Sakura, Phoenix, Incognito, не требуя никаких обновлений сигнатур. 

Пользователю ничего не нужно специально изучать, Anti-Exploit — это решение "поставил и забыл".

Различия между Free и Premium: 
• Free-версия защищает только браузеры Internet Explorer, Mozilla Firefox, Chrome, Opera, браузерные расширения и Java, другие опции закрыты (см. пиктограмму "замочки");
Anti-Exploit

• Premium-версия открывает все реализованные в программе уровни защиты и позволяет управлять пользовательскими уровнями ("замочки" закрыты - защита под замком). 


Установка и использование Anti-Exploit

Anti-Exploit
 Начальное и конечное окна установки

При установке предлагается сразу испытать возможности Premium-версия (стоит галочка на опции Premium-триал) или отказаться и снять галочку на триальной версии. Иначе сразу установится Free-версия. 

Я заметил два упущения разработчиков: 
а) нет возможности отключить триал и начать использовать Free-версию;
б) если удалить Premium, чтобы по желанию установить Free-версию, то опция с предложением использовать или отключить Premium-версию уже не появляется. 


Anti-Exploit
 Главное окно и окно "О программе" с указанием версии программы


Anti-Exploit: Setting
Окно "Settings" (Настройки)


 Подокна "Anvanced settings" (Расширенные настройки)

В расширенных настройках можно настраивать защиту, включая или отключая защиту от тех или иных эксплойтов. Также можно сбросить настройки на умолчательные. 

Обновление: 
Теперь эта программа входит в пакет Malwarebytes 3.0 Premium и является частью комплексного средства защиты от самых совершенных угроз.

Официальная страница утилиты:
Английская: https://www.malwarebytes.com/antiexploit/
Русская: https://ru.malwarebytes.com/antiexploit/
Страница загрузки 
https://data-cdn.mbamupdates.com/web/mbae-setup-1.09.1.1291.exe
© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 20 октября 2016 г.

MBRFilter

MBRFilter by Cisco Talos 


   Master Boot Record (MBR) является самой важной структурой диска. Этот сектор создаётся при разбиении диска на разделы. В секторе MBR расположены небольшой код, называемый Master Boot Code (Bootstrap Code), а также сигнатура диска и таблица разделов Partition Table. 
MBR
В конце сектора MBR располагается двухбайтовая структура Boot Signature, указывающая на конец сектора. Она имеет значение 0x55AA. Сигнатура диска — это уникальное число, расположенное по смещению 0x01B8 и позволяющее операционной системе однозначно определить данный диск. Каждый жёсткий диск содержит сектор MBR, но загрузочный код используется только на дисках, имеющих активный первичный раздел.

Вымогатели, перезаписывающие Master Boot Record (MBR), пока мало распространены, но их вредоносная атака может иметь катастрофические последствия для данных, находящихся на жестких дисках ПК. 

Чтобы защитить ПК от этих типов вредоносных программ, Cisco Talos выпустила драйвер MBRFilter для Windows. Он находится в режиме ожидания программ, пытающихся изменить или зашифровать Master Boot Record, и блокирует их. 

Этот MBRFilter блокирует работу только шифровальщиков, изменяющих MBR, но не защищает от обычных шифровальщиков файлов и от комбинированных вроде Petya+Mischa, где второй компонент Mischa запускается, когда не удалось запустить Petya, и шифрует файлы в системе. 


Установка MBRFilter

Для установки MBRFilter, скачайте с представленных внизу страниц х32 или х64-версию MBRFilter, в зависимости от типа вашей ОС.  

После загрузки, извлеките их в папку. Вы увидите два файла, inf-файл, который называется MBRFilter.inf, а сам драйвер - файл MBRfilter.sys. 

Откройте контекстное меню правой кнопкой мыши на файле MBRFilter.inf и выберите там команду "Установить" (Install). 
MBRFilter

После того, как драйвер будет установлен, Windows предложит вам перезагрузить компьютер. 

После перезагрузки компьютера драйвер будет защищать ваш MBR от изменения вредоносами. 

Теперь, если крипто-вымогатель, или другая инфекция, попытаются изменить MBR вашего диска, то драйвер перехватит запрос и блокирует его действия. Будет отображено сообщение, как показано ниже, подтверждающее то, что действия вредоноса заблокированы.
MBRFilter

Ниже можно просмотреть видеоролик, демонстрирующий, что происходит, когда мы пытаемся запустить в системе, где уже установлен MBRFilter, шифровальщики Satana, Petya, и Petya+Mischa.

Всё. Теперь защита MBR обеспечена. 

Удаление MBRFilter

Чтобы удалить MBRFilter, выполните следующие действия:
- Откройте системный редактор реестра. 
- Откройте раздел
HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}
- Удалите строку MBRFilter из раздела реестра UpperFilters (только MBRFilter, т.к. здесь могут быть другие драйверы диска). 
Для этого правым кликом на параметре UpperFilters откройте контекстное меню и выберите пункт Изменить. 
В появившемся окне просто удалите строку MBRFilter и нажмите OK.
- Перезагрузите ПК.

Всё. Теперь MBRFilter отключен и защиты MBR нет. 



Страницы загрузки фильтра:
Официальная новая: https://www.talosintelligence.com/mbrfilter
Официальная старая: https://github.com/vrtadmin/MBRFilter
Запасная: https://yadi.sk/d/xlOQnHUi3C85yB
Видео-демонстрация от BleepingComputer.com
https://www.youtube.com/watch?v=WO-YFP5EuO4
© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 14 июня 2016 г.

RansomNoteCleaner

RansomNoteCleaner


RansomNoteCleaner — инструмент для автоматической очистки системы от вымогательских записок, оставленных известными вариантами криптовымогателей. Он связан с ID Ransomware и тоже сделан его разработчиком Майклом Гиллеспи.

Времена, когда криптовымогатели оставляли одну или несколько записок с требованием выкупа, давно прошли. Сейчас таких записок может быть раскидано по системе немереное количество: на каждом диске, в каждой папке, а недавно наметилась тенденция делать записку о выкупе на каждый зашифрованный файл, а порой даже используя имя зашифрованного файла. Более того, даже после дешифрования файлов избавляться от них нужно было вручную. Но теперь это будет сделать легче и быстрее. 

Принцип работы RansomNoteCleaner довольно прост: при запуске получить базу онлайн, выполнить поиск по выбранному вами Ransomware, получить результат и выбрать, что нужно удалить. 
RansomNoteCleaner

Журнал удалённых записок о выкупе сохраняется в файл "RansomNoteCleaner.log" в той же папке, откуда вы будет запускать RansomNoteCleaner.

Т.к. для работы утилиты требуется подключение к базе Ransomware, то ваш брандмауер может выдать примерно такое предупреждение.
Окно предупреждения Norton Interner Security

В окне указаны причины и автоматически выбран рекомендуемый параметр "Всегда разрешать" - ОК. 

Пример работы с утилитой
Выбор места для поиска, например, папка "Документы"
Просмотр найденной записки и её выбор для удаления
Результат очистки: появление надписи Clean! (Очищено)

Разработчик обещает обновлять и развивать этот дополнительный инструмент. На данный момент продукт обновлен до версии 0.9.3.0.
RansomNoteCleaner
Окно "О RansomNoteCleaner"


Официальная страница утилиты:
https://www.bleepingcomputer.com/forums/t/617257/ransomnotecleaner-remove-ransom-notes-left-behind/
Ссылки на загрузку утилиты:
Официальная: https://www.bleepingcomputer.com/download/ransomnotecleaner/
Запасная: https://yadi.sk/d/7QRUjYcH3AdUQL
© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 10 июня 2016 г.

USB Immunizer

USB Immunizer by Bitdefender


Антивирусная компания Bitdefender LABS поддерживает разработку инструмента дополнительной защиты компьютеров, называемого Bitdefender USB Immunizer. Он известен с 2011 года, но в связи с атаками ZCrypt и Spora Ransomware может послужить ещё и делу защиты от этих и других криптовымогателей, способных передаваться с помощью USB-накопителей (флешек, внешних дисков и пр.). Приложение поддерживает файловые системы NTFS, FAT32, FAT.


Специалистами Microsoft, TrenMicro, BitDefender, BleepingComputer у шифровальщика ZCrypt Ransomware замечено поведение, схожее с сетевыми червями. Т.е. он может распространяться самостоятельно, заражая все доступные цели и копировать себя на портативные устройства. В январе 2017 года специалисты GDATA выявили и описали использование шифровальщиком Spora Ransomware ярлыков Windows (.LNK файлы) вместо autorun.inf, как было у ZCrypt Ransomware. 


Много лет Autorun-вирусы являются электронной угрозой, атакующей пользователей компьютеров. Наиболее известные представители этого семейства, это Trojan.AutorunInf, интернет-червь Conficker (Win32 Worm.Downadup) или Worm.Autorun.VHD. В целом полезная функция автозапуска, разработанная для помощи пользователям, стала инструментом злоумышленников и киберпреступников для инфицирования компьютеров. 


Bitdefender USB Immunizer является эффективным ответом на эту растущую проблему. Он отключает Autorun-вирусы, прежде чем они получат доступ к компьютеру. После установки, Bitdefender USB Immunizer будет контролировать подключение съемных USB-накопителей и обезвреживать их, предотвращая заражение. 


При случайном подключении зараженной и неиммунизированной USB-флешки, вредоносные программы, находящиеся на USB-устройстве, не будут автоматически выполнены операционной системой и потому не перейдут на ваш компьютер.


Разработчики обещают обновлять и развивать этот инструмент дополнительной защиты. Он, конечно, не заменит комплексной антивирусной защиты, зато хорошо дополнит её в некоторых ситуациях.


Установка и использование


После загрузки утилиты, нужно ответить на предупреждение системы безопасности Windows и разрешить установку этого ПО от издателя Bitdefender. Это стандартная процедура. Если это окно у вас не появляется, значит эта защитная системная функция у вас кем-то отключена. 
 
Затем следует прочитать и принять лицензионное соглашение или, при несогласии, отказаться от использования. Следующее окно сообщит о готовности программы к использованию и предлагает подключить USB-накопитель. 
USB Immunizer 

В системном трее появится иконка с белой флешкой. Это и есть значок USB Immunizer. Рядом красный значок BD Anti-Ransomwareдругой программы нашего проекта. 

После подключения USB-накопителя вы увидите следующее диалоговое окно.
USB Immunizer
Далее нужно просто кликнуть по изображению флешки в окне программы и утилита проведёт иммунизацию вашего USB-накопителя. 


USB Immunizer
Смотрите анимированное изображение выше, демонстрирующее весь процесс иммунизации по команде пользователя. 
Красный ореол сообщает о неиммунизированном USB-накопителе. 
Зелёный ореол свидетельствует о готовности USB-накопителя. 

USB Immunizer может также автоматически иммунизировать все подключаемые USB-накопители. Это может быть полезно, когда флешек много или компьютер общий. 

Для этого надо кликнуть на значок "шестеренка" в верхней части окна программы и передвинуть переключатель влево, как н а следующем изображении.
USB Immunizer

Всё. Теперь иммунизация всех ваших флешек обеспечена. 


Официальная страница утилиты:
https://labs.bitdefender.com/projects/usb-immunizer/overview/
Ссылка на загрузку утилиты:
https://labs.bitdefender.com/wp-content/updates/immunizer/BDUSBImmunizerLauncher.exe
© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 5 мая 2016 г.

AntiRansomware

Anti-Ransomware by Bitdefender


Антивирусная компания Bitdefender LABS выпустила новый инструмент дополнительной защиты от шифровальщиков-вымогателей, получивший название BDAntiRansomware и пришедший на смену более раннему BDAntiCryptoWall. 

Combination Crypto-Ransomware Vaccine
Рис.1. Новая вакцина взамен предыдущей

Сами разработчики называют утилиту как Combination Crypto-Ransomware Vaccine и уже успели пару раз её обновить. 


Теперь эта Комбинированная Анти-Вымогательская Вакцина может защитить от уже известных и, возможно, будущих версий CTB-Locker, Locky, Petya и TeslaCrypt, входящих в семейство наиболее известных и разрушительных крипто-вымогателей, эксплуатируя недостатки в их методах распространения. 



BDAntiRansomware
Рис.2. Сведения о цифровой подписи и сертификате

Загрузить утилиту BDAntiRansomware можно с сайта Bitdefender LABS.
Ссылки на сайт и загрузку внизу данной статьи. 


BDAntiRansomware
Рис.3-4-5. Окна работающей утилиты BDAntiRansomware

Разработчики обещают обновлять и развивать этот инструмент дополнительной защиты от крипто-вымогателей. Он, конечно, не заменит комплексной антивирусной защиты, зато хорошо дополнит её в некоторых ситуациях.



Официальная страница утилиты:
https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/
Ссылка на загрузку утилиты:
http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe
© Amigo-A (Andrew Ivanov): All blog articles.

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *