суббота, 11 ноября 2017 г.

ShadowReport

ShadowReport


ShadowReport — это небольшое приложение, способное сообщать о статусе теневых копий в ОС Windows. Полное название: RansomSaver ShadowReport. 

Разработчики, компания Synergy USA LLC сообщают о совместимости с антивирусным ПО. 


Сведения о цифровой подписи и сертификате


Установка ShadowReport


Окно начального и конечного этапов установки

При установке нет никаких сложностей. Всего лишь требуется разрешение для UAC на установку. 

Что делает ShadowReport?
ShadowReport собирает информацию о статусе теневых копий Windows и отправляет подробный отчёт по электронной почте на ваш почтовый ящик. Планировщик заданий будет запускать ShadowReport один раз в неделю и информировать вас о наличии здоровых теневых копий на выбранном компьютере. Для начала надо настроить отправку сообщений. 
Основное окно настроек почты

После последовательного заполнения здесь ВСЕХ необходимых данных в Планировщике заданий Windows будет создано запланированное задание RansomSaver ShadowReport. Согласно этому заданию еженедельно будет отправляться сообщение о состоянии теневых копий на указанный email для приёма сообщений. 


Пример задания RansomSaver ShadowReport

Если задача не была создана установкой, используйте следующую команду из командной строки повышенного уровня: 
SCHTASKS /Create /RU SYSTEM  /SC WEEKLY  /TN  RansomSaverShadowReport  /TR "\"C:\Program Files (x86)\SYNERGY USA llc\RansomSaver ShadowReport\RansomSaverShadowReport.exe\" auto"   /ST 10:00:00

Вы можете отредактировать задачу для выполнения в соответствии с вашими потребностями. 

Пример почтовых отправлений


Кому необходим ShadowReport?
ИТ-инженерам, оказывающим техническую поддержку, консультантам по безопасности, желающим узнать варианты восстановления в случае инцидента, ИТ-консалтинговым компаниям, оказывающим поддержку нескольким сайтам / клиентам, желающим узнать, отлично ли работает процесс создания теневых копий на серверах. Также любой пользователь, желающий иметь дополнительный элемент защиты от Ransomware, может установить и использовать ShadowReport. 

Зачем создавать теневые копии?
Shadow Copy оказался мощным инструментом на линии обороны от Ransomware. Это первая линия защиты перед восстановлением из резервной копии. Обычно создание и обновление теневых копий файлов выполняется как рутинный фоновый процесс, за которым пользователю трудновато следить. ShadowReport помогает без напряжения отслеживать теневые копии любого удалённого или локального компьютера. ShadowReport отправит вам еженедельный отчёт, в котором сообщит, что вы можете полагаться на восстановление файлов в случае атаки Ransomware.

Что не делает ShadowReport? 
Он не обнаруживает и не удаляет Ransomware. Это самый простой способ узнать, что на компьютере есть теневые копии, работающие должным образом.

Это бесплатно? 
ShadowReport совершенно бесплатен. Разработчики не собираются взимать плату, т.к. знают, как трудно угодить всем в Интернете. 
Также и автор этого блога предоставляет вам этот обзор совершенно бесплатно, лишь при условии соблюдения авторских прав. 

👉 ВАЖНО! ShadowReport будет работать, только если в системе включено "Теневое копирование тома" (служба Windows VSS). Эта служба Windows обычно включена по умолчанию, но если вы её отключали сами, то включите и перезагрузите ПК до установки ShadowReport

Для справки: 
Теневое копирование тома управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей. Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

Откройте последовательно: 
Панель управления -> Администрирование -> Службы -> Теневое копирование тома и проверьте. Если отключено, то перевидите типа запуска на "Автоматически" и нажмите кнопку "Запустить". 
Далее "Применить" и "ОК". 


Включение службы VSS


Что важно знать до начала использования?
Современные Ransomware пытаются удалить теневые копии, если получают права доступа. Поэтому мы предлагаем не давать пользователям права администраторского доступа. Даже, если вы единственный пользователь ноутбука, разумнее создать отдельного пользователя без прав администратора для ежедневных задач. 
Таким образом, даже если вы заразитесь Ransomware, вы всё равно сможете войти в систему как администратор и восстановить зашифрованные файлы с помощью теневых копий.

Как настроить / включить теневые копии ваших файлов

Как восстановить файлы и папки с помощью теневых копий



Официальное руководство (на английском): 
https://www.synergy-usa-llc.com/RansomSaverShadowReport.html
Официальная ссылка на загрузку: 
https://www.synergy-usa-llc.com/RansomSaverShadowReportSetup.zip
Официальная страница поддержки:
https://www.synergy-usa-llc.com/support.html

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 7 ноября 2017 г.

RansomSaver

RansomSaver


RansomSaver — это надстройка для почтового клиента Microsoft Outlook, способная обнаруживать Ransomware. 

RansomSaver совместим со всеми версиями Outlook для 32-х и 64-х операционных систем Windows. 
RansomSaver работает с версиями 2007 и выше, включая Outlook 2016 и Outlook для Office 365. 
RansomSaver работает на всех операционных системах Windows, начиная с Windows XP.
RansomSaver устанавливается как надстройка, т.е. интегрируется в Outlook при его установке. 

Разработчики, компания Synergy USA LLC сообщают о совместимости с антивирусным ПО. 


Сведения о цифровой подписи и сертификате



Основной функционал и настройки

Основной функцией RansomSaver является сканирование и поиск в теле письма вирусов шифровальщиков. 
RansomSaver проверяет email-письма, которые вы получаете, на вымогателей и может удалять все сообщение или только вложение.
RansomSaver перемещает email-письма в специальную папку "RansomSaver", которая создается в Outlook как подпапка для папки "Удалённые элементы" (Deleted Items).


Как работает RansomSaver в качестве защитной надстройки?
Каждый раз, когда вы нажимаете на письмо, содержащее вложения, RansomSaver запускает сканирование, чтобы увидеть, содержит ли вложение потенциальную угрозу для вашей системы. После сканирования RansomSaver попытается удалить инфекцию и сообщить о ней.

Как RansomSaver выявляет подозрительные письма и определяет вредоносность вложения? 
RansomSaver сканирует все возможные потенциально опасные вложения (не заблокированные самим Outlook). Он также выполняет поиск опасных исполняемых подписей внутри архивных файлов, не открывая их. Если есть положительный сигнал тревоги, электронное письмо перемещается в папку "RansomSaver" под "Deleted Items" (Удаленные элементы). 
При ложно-положительном результате вы можете переместить выбранное письмо обратно во входящие письма (папка "Inbox").


Пользователь опционально может:
- включить или отключить удаление вложений и писем; 
- отключить функции сканирования до следующего запуска Outlook;
- отключить проверку папки удалённых элементов Outlook.

Параметры доступны с панели инструментов надстройки RansomSaver. Там вы найдете варианты сканирования существующих папок для вложений Ransomware и ссылки на журнал инцидентов.
Окно настроек с переключателями

Описание функционала (перевод на русский язык)


Какие типы расширений RansomSaver считает подозрительными?
.ace, .arj, .application, .bat, .cmd, .com, .cpl, .dll, .docm, .dotm, .exe, .gadget, .hta, .inf, .jar, .js, .jse, .lnk, .mdb, .mde, .msc, .msh, .msi, .msp, .pif, .potm, .ppam, .ppsm, .pptm, .ps, .ps1, .ps2, .psc, .reg, .scf, .scr, .shs, .sldm, .vb, .vbe, .vbs, .ws, .wsc, .wsf, .wsh, .xlam, .xlsm, .xltm

Подозрительные расширения просматриваются также и внутри Zip- и Rar-архивов. 
Пример письма с вредоносным вложением

Обнаружения RansomSaver отображаются в области уведомлений, рядом с системными часами. Значок — чёрный треугольник в белом квадрате. 



Перевод сообщения:
RansomSaver
Почтовое сообщение подозрительно и будет перенесено в "RansomSaver" в разделе "Deleted Items".
Вредонос найден, Zip-файл содержит опасное / блокируемое расширение: .xlsm


Установка RansomSaver

 Окно начального и конечного этапов установки

При установке нет никаких сложностей. RansomSaver сам интегрируется в Microsoft Outlook версий: 2007, 2010, 2013, 2016. От вас не потребуется никаких усилий или особой подготовки. 

Для примера я использовал версию 2007 года. 
Кнопка и окно настроек

Отдельная опция проверки текущей папки для писем на вирусы (подозрительные файлы). 
Кнопка проверки папки и переключатель

По желанию, как мера дополнительной безопасности, можно передвинуть переключатель на опции "Recheck already..." в положение ON, чтобы перепроверка проводилась автоматически. 



Подпапка и удобный подраздел RansomSaver

Как видите, всё предельно ясно и понятно. Приятного Вам пользования!

Это бесплатно? 
RansomSaver совершенно бесплатен. Разработчики не собираются взимать плату, т.к. знают, как трудно угодить всем в Интернете. 
Также и автор этого блога предоставляет вам этот обзор совершенно бесплатно, лишь при условии соблюдения авторских прав. 

👉 ВАЖНО! RansomSaver не является антивирусной защитой. Вы должны в обязательном порядке использовать комплексное антивирусное средство не ниже класса Internet Security. 

Например, это могут быть:
✦ Norton Security, Norton Internet Security
✦ Kaspersky Internet Security 
✦ Avast Internet Security
✦ ESET NOD32 Internet Security
✦ Avira Internet Security
✦ GData Internet Security
✦ Trend Micro Internet Security
и другие. 


Официальное руководство (на английском): 
https://www.synergy-usa-llc.com/ransomsaver-faq.html
https://www.synergy-usa-llc.com/quick-start.html
Официальная ссылка на загрузку: 
https://www.synergy-usa-llc.com/RansomSaver.zip
Официальный видео-обзор: 
https://www.youtube.com/watch?v=uOdLeQ9ZBBc

© Amigo-A (Andrew Ivanov): All blog articles.

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *