суббота, 11 ноября 2017 г.

ShadowReport

ShadowReport


ShadowReport — это небольшое приложение, способное сообщать о статусе теневых копий в ОС Windows. Полное название: RansomSaver ShadowReport. 

Разработчики, компания Synergy USA LLC сообщают о совместимости с антивирусным ПО. 


Сведения о цифровой подписи и сертификате


Установка ShadowReport


Окно начального и конечного этапов установки

При установке нет никаких сложностей. Всего лишь требуется разрешение для UAC на установку. 

Что делает ShadowReport?
ShadowReport собирает информацию о статусе теневых копий Windows и отправляет подробный отчёт по электронной почте на ваш почтовый ящик. Планировщик заданий будет запускать ShadowReport один раз в неделю и информировать вас о наличии здоровых теневых копий на выбранном компьютере. Для начала надо настроить отправку сообщений. 
Основное окно настроек почты

После последовательного заполнения здесь ВСЕХ необходимых данных в Планировщике заданий Windows будет создано запланированное задание RansomSaver ShadowReport. Согласно этому заданию еженедельно будет отправляться сообщение о состоянии теневых копий на указанный email для приёма сообщений. 


Пример задания RansomSaver ShadowReport

Если задача не была создана установкой, используйте следующую команду из командной строки повышенного уровня: 
SCHTASKS /Create /RU SYSTEM  /SC WEEKLY  /TN  RansomSaverShadowReport  /TR "\"C:\Program Files (x86)\SYNERGY USA llc\RansomSaver ShadowReport\RansomSaverShadowReport.exe\" auto"   /ST 10:00:00

Вы можете отредактировать задачу для выполнения в соответствии с вашими потребностями. 

Пример почтовых отправлений


Кому необходим ShadowReport?
ИТ-инженерам, оказывающим техническую поддержку, консультантам по безопасности, желающим узнать варианты восстановления в случае инцидента, ИТ-консалтинговым компаниям, оказывающим поддержку нескольким сайтам / клиентам, желающим узнать, отлично ли работает процесс создания теневых копий на серверах. Также любой пользователь, желающий иметь дополнительный элемент защиты от Ransomware, может установить и использовать ShadowReport. 

Зачем создавать теневые копии?
Shadow Copy оказался мощным инструментом на линии обороны от Ransomware. Это первая линия защиты перед восстановлением из резервной копии. Обычно создание и обновление теневых копий файлов выполняется как рутинный фоновый процесс, за которым пользователю трудновато следить. ShadowReport помогает без напряжения отслеживать теневые копии любого удалённого или локального компьютера. ShadowReport отправит вам еженедельный отчёт, в котором сообщит, что вы можете полагаться на восстановление файлов в случае атаки Ransomware.

Что не делает ShadowReport? 
Он не обнаруживает и не удаляет Ransomware. Это самый простой способ узнать, что на компьютере есть теневые копии, работающие должным образом.

Это бесплатно? 
ShadowReport совершенно бесплатен. Разработчики не собираются взимать плату, т.к. знают, как трудно угодить всем в Интернете. 
Также и автор этого блога предоставляет вам этот обзор совершенно бесплатно, лишь при условии соблюдения авторских прав. 

👉 ВАЖНО! ShadowReport будет работать, только если в системе включено "Теневое копирование тома" (служба Windows VSS). Эта служба Windows обычно включена по умолчанию, но если вы её отключали сами, то включите и перезагрузите ПК до установки ShadowReport

Для справки: 
Теневое копирование тома управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей. Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

Откройте последовательно: 
Панель управления -> Администрирование -> Службы -> Теневое копирование тома и проверьте. Если отключено, то перевидите типа запуска на "Автоматически" и нажмите кнопку "Запустить". 
Далее "Применить" и "ОК". 


Включение службы VSS


Что важно знать до начала использования?
Современные Ransomware пытаются удалить теневые копии, если получают права доступа. Поэтому мы предлагаем не давать пользователям права администраторского доступа. Даже, если вы единственный пользователь ноутбука, разумнее создать отдельного пользователя без прав администратора для ежедневных задач. 
Таким образом, даже если вы заразитесь Ransomware, вы всё равно сможете войти в систему как администратор и восстановить зашифрованные файлы с помощью теневых копий.

Как настроить / включить теневые копии ваших файлов

Как восстановить файлы и папки с помощью теневых копий



Официальное руководство (на английском): 
https://www.synergy-usa-llc.com/RansomSaverShadowReport.html
Официальная ссылка на загрузку: 
https://www.synergy-usa-llc.com/RansomSaverShadowReportSetup.zip
Официальная страница поддержки:
https://www.synergy-usa-llc.com/support.html

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 7 ноября 2017 г.

RansomSaver

RansomSaver


RansomSaver — это надстройка для почтового клиента Microsoft Outlook, способная обнаруживать Ransomware. 

RansomSaver совместим со всеми версиями Outlook для 32-х и 64-х операционных систем Windows. 
RansomSaver работает с версиями 2007 и выше, включая Outlook 2016 и Outlook для Office 365. 
RansomSaver работает на всех операционных системах Windows, начиная с Windows XP.
RansomSaver устанавливается как надстройка, т.е. интегрируется в Outlook при его установке. 

Разработчики, компания Synergy USA LLC сообщают о совместимости с антивирусным ПО. 


Сведения о цифровой подписи и сертификате



Основной функционал и настройки

Основной функцией RansomSaver является сканирование и поиск в теле письма вирусов шифровальщиков. 
RansomSaver проверяет email-письма, которые вы получаете, на вымогателей и может удалять все сообщение или только вложение.
RansomSaver перемещает email-письма в специальную папку "RansomSaver", которая создается в Outlook как подпапка для папки "Удалённые элементы" (Deleted Items).


Как работает RansomSaver в качестве защитной надстройки?
Каждый раз, когда вы нажимаете на письмо, содержащее вложения, RansomSaver запускает сканирование, чтобы увидеть, содержит ли вложение потенциальную угрозу для вашей системы. После сканирования RansomSaver попытается удалить инфекцию и сообщить о ней.

Как RansomSaver выявляет подозрительные письма и определяет вредоносность вложения? 
RansomSaver сканирует все возможные потенциально опасные вложения (не заблокированные самим Outlook). Он также выполняет поиск опасных исполняемых подписей внутри архивных файлов, не открывая их. Если есть положительный сигнал тревоги, электронное письмо перемещается в папку "RansomSaver" под "Deleted Items" (Удаленные элементы). 
При ложно-положительном результате вы можете переместить выбранное письмо обратно во входящие письма (папка "Inbox").


Пользователь опционально может:
- включить или отключить удаление вложений и писем; 
- отключить функции сканирования до следующего запуска Outlook;
- отключить проверку папки удалённых элементов Outlook.

Параметры доступны с панели инструментов надстройки RansomSaver. Там вы найдете варианты сканирования существующих папок для вложений Ransomware и ссылки на журнал инцидентов.
Окно настроек с переключателями

Описание функционала (перевод на русский язык)


Какие типы расширений RansomSaver считает подозрительными?
.ace, .arj, .application, .bat, .cmd, .com, .cpl, .dll, .docm, .dotm, .exe, .gadget, .hta, .inf, .jar, .js, .jse, .lnk, .mdb, .mde, .msc, .msh, .msi, .msp, .pif, .potm, .ppam, .ppsm, .pptm, .ps, .ps1, .ps2, .psc, .reg, .scf, .scr, .shs, .sldm, .vb, .vbe, .vbs, .ws, .wsc, .wsf, .wsh, .xlam, .xlsm, .xltm

Подозрительные расширения просматриваются также и внутри Zip- и Rar-архивов. 
Пример письма с вредоносным вложением

Обнаружения RansomSaver отображаются в области уведомлений, рядом с системными часами. Значок — чёрный треугольник в белом квадрате. 



Перевод сообщения:
RansomSaver
Почтовое сообщение подозрительно и будет перенесено в "RansomSaver" в разделе "Deleted Items".
Вредонос найден, Zip-файл содержит опасное / блокируемое расширение: .xlsm


Установка RansomSaver

 Окно начального и конечного этапов установки

При установке нет никаких сложностей. RansomSaver сам интегрируется в Microsoft Outlook версий: 2007, 2010, 2013, 2016. От вас не потребуется никаких усилий или особой подготовки. 

Для примера я использовал версию 2007 года. 
Кнопка и окно настроек

Отдельная опция проверки текущей папки для писем на вирусы (подозрительные файлы). 
Кнопка проверки папки и переключатель

По желанию, как мера дополнительной безопасности, можно передвинуть переключатель на опции "Recheck already..." в положение ON, чтобы перепроверка проводилась автоматически. 



Подпапка и удобный подраздел RansomSaver

Как видите, всё предельно ясно и понятно. Приятного Вам пользования!

Это бесплатно? 
RansomSaver совершенно бесплатен. Разработчики не собираются взимать плату, т.к. знают, как трудно угодить всем в Интернете. 
Также и автор этого блога предоставляет вам этот обзор совершенно бесплатно, лишь при условии соблюдения авторских прав. 

👉 ВАЖНО! RansomSaver не является антивирусной защитой. Вы должны в обязательном порядке использовать комплексное антивирусное средство не ниже класса Internet Security. 

Например, это могут быть:
✦ Norton Security, Norton Internet Security
✦ Kaspersky Internet Security 
✦ Avast Internet Security
✦ ESET NOD32 Internet Security
✦ Avira Internet Security
✦ GData Internet Security
✦ Trend Micro Internet Security
и другие. 


Официальное руководство (на английском): 
https://www.synergy-usa-llc.com/ransomsaver-faq.html
https://www.synergy-usa-llc.com/quick-start.html
Официальная ссылка на загрузку: 
https://www.synergy-usa-llc.com/RansomSaver.zip
Официальный видео-обзор: 
https://www.youtube.com/watch?v=uOdLeQ9ZBBc

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 5 апреля 2017 г.

Предложите публикацию

Предложите публикацию в "Проект Anti-Ransomware"


   Вы являетесь разработчиком Anti-Ransomware или представителем компании, имеющей отдельное Anti-Ransomware решение?

  Тогда вы можете предложить свой продукт для публикации в этом проекте. Нулевые, тестовые и бета-версии не принимаются. Предлагайте только финальные проверенные версии с ЭЦП и совместимостью с антивирусным ПО. 

  Несколько обязательных условий для публикации: 

    1) Наличие отдельного Anti-Ransomware решения.
    2) Наличие бесплатной или испытательной версии.
    3) Наличие английской и/или русскоязычной версии.
    4) Наличие руководства пользователя (ENG и/или RUS).
    5) Наличие сайта и техподдержки (ENG и/или RUS).

  Предоставьте инсталлятор, скриншоты и ссылки для публикации. 
  Если есть видеоматериалы и тест-обзоры, то приложите ссылки. 

  Для связи с нами используйте "Форму обратной связи" (см. ниже). 

  Вы также можете предложить на тест предфинальную версию. 
  Наша тестовая группа проведёт проверку на разных ПК и выдаст заключение и/или подготовит обзор. 

  Это бесплатно, но от благодарности или ссылки на наш сайт не откажемся. ;)

пятница, 10 марта 2017 г.

Anti-Ransomware Tool

Kaspersky Anti-Ransomware Tool fo Business


Сегодня всё чаще мишенью кибер-преступников, которые шифруют файлы и требуют выкуп за их восстановление или ключ дешифрования, становятся компании, организации и государственные учреждения. 

Кибер-преступникам нет дела до того, что жертвой их атаки стала некоммерческая компания, детское образовательное учреждение или больница, где проходит важная операция, а под приборами жизнеобеспечения круглосуточно находятся критические больные. Им это безразлично, т.к. они проводили атаку для того, что получить выкуп, и чем больше учреждение и больше файлов оказалось в заложниках, тем больше они захотят денег за выкуп. 

Потому, в таких случаях, не надо уповать на милосердие преступников и вести с ними переговоры. Надо сразу звонить или писать заявление в местное Управление "К" МВД России или территориальный орган МВД России. Это их работа "общаться" с преступниками.


Превентивные меры


Атаку шифровальщиков-вымогателей легче предотвратить, чем страдать от последствий. Для этих целей, в "Лаборатории Касперского" выпустили новое программное решение под названием Kaspersky Anti-Ransomware Tool fo Business. 

Это инструмент безопасности для бизнеса, способный блокировать вымогателей на компьютерах, работающих под управлением ОС Windows. Предназначены для предприятий, которые не используют другие программы "Лаборатории Касперского" и доступен для бесплатного скачивания на официальном сайте.

👉 Обратите внимание, чтобы получить этот продукт бесплатно, вам необходимо заполнить форму на сайте, который запрашивает фамилию, имя, номер телефона, email-адрес, название компании, страну и количество рабочих станций. 

Страница и сама программа на английском языке! 
Файл справки доступен только после установки! 


 
Начальное и конечное окно установщика

Kaspersky Anti-Ransomware Tool fo Business (KARTB) совместим с другим защитным программным обеспечением безопасности, при условии, что это не другие программы "Лаборатории Касперского", с которыми он как раз и не совместим.

KARTB работает в фоновом режиме, контролируя программную деятельность в системе. При обнаружении вредоносного ПО, он автоматически блокирует его и добавляет в список заблокированных приложений (Blocked Applications). 

Можно самостоятельно добавить в список доверенных приложений (Trusted Applicationsлюбую нужную программу, например, один из модулей другой антивирусной программы. 

KARTB использует собственную сигнатурную базу и технологию Kaspersky Security Network, основанную на облачной работе, объединяющей информацию от пользователей всех продуктов "Лаборатории Касперского".

👉 Для выявления характерного поведения программ-вымогателей инструмент KARTB использует две технологии: Kaspersky Security Network и «Мониторинг активности».

Возможно, что перед блокировкой, вредоносная программа может успеть произвести нежелательные действия в операционной системе: создать или распаковать свои файлы или изменить файлы, находящиеся в системе, или сделать какие-то изменения в реестре Windows. Чтобы выполнить откат действий вредоносной программы Kaspersky Anti-Ransomware Tool хранит историю деятельности приложений в системе. В него входит восстановление измененных файлов или внесение изменений в реестре Windows. 

Основные возможности KARTB:
Бесплатное и довольно легкое программное решение;
Обнаружение на уровне бизнес-решений (KES for Windows);
Технологии защиты: файловый антивирус + Мониторинг активности;
Совместимость со сторонними антивирусными решениями;
Поддержка популярных систем: от Windows 7 до последних Windows 10;
Отправка по email администратору отчётов об обнаружении. 

Поддерживаемые операционные системы: 
Microsoft Windows 7 Starter x32 SP 1 и выше, Microsoft Windows 7 Home Basic SP 1 и выше, Microsoft Windows 7 Home Premium SP 1 и выше, Microsoft Windows 7 Professional SP 1 и выше, Microsoft Windows 7 Ultimate SP 1 и выше, Microsoft Windows 8, Microsoft Windows 8 Pro, Microsoft Windows 8 Enterprise, Microsoft Windows 8.1 (Windows 8.1 Update), Windows 8.1 Pro (Windows 8.1 Update), Windows 8.1 Enterprise (Windows 8.1 Update), Microsoft Windows 10 Home, Microsoft Windows 10 Pro, Microsoft Windows 10 Enterprise.


Официальная страница утилиты:
https://go.kaspersky.com/Anti-ransomware-tool.html
Видеоролики с KARTB:
Стресс-тестирование программы: https://www.youtube.com/watch?v=CuzbRj_JgSw
Установка и пример работы: https://www.youtube.com/watch?v=0pHuvMm30SI
Ссылка на загрузку утилиты:
https://special.s.kaspersky-labs.com/j4xk0a1v50po5nlwhog0/anti_ransom_installer.msi

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 6 февраля 2017 г.

CryptoSearch

CryptoSearch


CryptoSearch — это инструмент, который может помогает выяснить с помощью какого конкретного крипто-вымогателя (шифровальщика) были зашифрованы файлы, и позволяет скопировать или переместить файлы в другое место для архивирования в надежде на дешифрование когда-либо в будущем. Он связан с ID Ransomware и тоже сделан его разработчиком Майклом Гиллеспи.
CryptoSearch: файлы
Файлы CryptoSearch

Файлы CryptoSearch (слева направо): лог программы, исполняемый файл и данные, полученные из службы ID Ransomware. 

CryptoSearch не требует установки в систему. Достаточно только запуска исполняемого файла. 

CryptoSearch работает совместно со службой ID Ransoware, потому при запуске приложения компьютер должен быть подключен к Интернету. При запуске CryptoSearch будет запрашивать службу ID Ransomware, чтобы получить данные, необходимые для идентификации типа вымогателя, который блокировал компьютер пользователя. Эти данные обновляются ежедневно. 

В обновлённой версии имеется автономный режим, когда утилита уже использует внутреннюю базу данных ID Ransomware. Потому вновь скачанный CryptoSearch можно использовать на компьютерах, не подключенных к Интернету.
CryptoSearch: ЭЦП
Сведения о цифровой подписи и сертификате
CryptoSearch: Главное окно
Главное окно программы

Можно использовать CryptoSearch для ручного поиска конкретного расширения или байта данных путём использования параметров поиска.
CryptoSearch: Выбор шифровальщика
Меню выбора Ransomware из списка

Можно самостоятельно задать поиск по известному расширению, добавляемому шифровальщиком к зашифрованным им файлам. 
CryptoSearch: Выбор по расширению
Выбор поиска по расширению

Опции, доступные через галочки справа и радио-кнопки рядом с кнопкой Search (Поиск):
List Files — список зашифрованных файлов, которые выводятся столбиком;
List Clean folders — список чистых папок, которые не имеют зашифрованных файлов;
Search Directory - поиск в каталоге, указанном вручную;
Search Computer - поиск по всему компьютеру (проверка побуквенно всех дисков, в том числе сетевых). 

После того, как сканирование будет завершено, в меню "Файл" появятся следующие опции:
Export List  - сохраняет список зашифрованных файлов в текстовый файл;
Archive Files - позволяет копировать или перемещать зашифрованные файлы в другое место для архивного сохранения, в надежде на расшифровку в будущем. 
CryptoSearch: Архивное копирование
Опции меню "Файл"

При выборе опции "Archive Files" программа просит:
"Move Files? Would you like to move files to the destination folder? Press "No" to copy files."
CryptoSearch: Диалог

Перевод на русский язык:
"Переместить файлы? Вы точно хотите переместить файлы в выбранную папку? Нажмите "Нет" для копирования файлов."

На следующем примере видно, что собранные файлы сохраняют полную структуру папок, включая букву диска. Например, эти файлы были перемещены в "C:\Backup\C:\Test\...".
CryptoSearch: Архивное охранение
Архивное сохранение завершено



ВАЖНО! CryptoSearch не расшифровывает данные. Шифровальщики, которые не добавляют ни расширения, ни маркера к зашифрованным файлам, не будут определены CryptoSearch. Пока, во всяком случае. 

Всё. Теперь с помощью CryptoSearch вы можете:
а) узнать, каким известным шифровальщиком были зашифрованы ваши файлы;
б) избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch. 


Официальная страница утилиты:
https://www.bleepingcomputer.com/forums/t/637463/cryptosearch-find-files-encrypted-by-ransomware/
Ссылка на загрузку утилиты:
https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 25 января 2017 г.

RansomFree

RansomFree by Cybereason


RansomFree — бесплатный поведенческий анти-вымогательский инструмент от компании Cybereason. Предназначен для работы на компьютерах, работающих под управлением ОС Windows 7, 8, 10, Windows Server 2008 R2, 2012 R2. Бесплатен для организаций и частных лиц. 
Инсталлятор и логотип
RansomFree
Информация о файле инсталлятора

Специалисты компании Cybereason исследовали более 40 вымогателей, в их числе Locky, Cryptowall, TeslaCrypt, Jigsaw, Cerber и определили поведенческие модели, которые отличают вымогателей от легитимных приложений. Не имеет значения, кто создал программу-вымогатель, преступная группа или одиночка, все крипто-вымогатели зашифруют столько файлов, сколько смогут. Они сами не могут определить, какие файлы имеют важное значение, и шифруют все на основании заданных расширений файлов.

RansomFree защищает от локального шифрования файлов, от шифрования на сетевых или общих дисков. Шифрование общих файлов является одним из самых ужасных сценариев для организация. Если только один сотрудник допустит промашку и запустит шифровальщик на выполнение, это поставит под удар всю компьютерную сеть компании, а убытки могут привести к банкротству.  

RansomFree ловит как автономных крипто-вымогателей, так и бестелесных. Автономные вымогатели использует уязвимости в ОС и приложениях, а бестелесные используют в работе легитимные инструменты Windows, такие как язык сценариев PowerShell или JavaScript, чтобы реализовать свои вредоносные намерения. 

RansomFree не зависит от вирусных сигнатур, как традиционные антивирусные решения, потому не нуждается в частом обновлении и не требует обязательного подключения к Интернету для своей работы. 

RansomFree, работающий как дополнение к основной антивирусной защите ПК, останавливает вредоносную активность крипто-вымогателей, шифрующих локальные и сетевые диски, общие файлы и внешние хранилища. 

RansomFree сможет помочь даже в том случае, если вирус уже пробрался на ПК и начал своё грязное дело. RansomFree способен обнаруживать подозрительные дисковые операции и блокировать шифрование пользовательских файлов или всего диска.

RansomFree предназначен для защиты от шифровальщиков-вымогателей. Он не может расшифровать файлы, которые уже были ранее зашифрованы каким-то шифровальщиком.

RansomFree разработан, чтобы остановить только шифрование файлов крипто-вымогателями. Поэтому иногда записки о выкупе, изображения, таймеры отсчета и другие визуальные эффекты, создаваемые при работе вредоносных программ, могут появиться, но не причинят никакого вреда.

RansomFree является идеальным бесплатным анти-вымогательским решением для малого бизнеса, магазинов, юридических фирм, полицейских и пожарных департаментов, органов власти и муниципальных предприятий, некоммерческих организаций, банков, медицинских учреждений и частных клиник, учреждений школьного, дошкольного и дополнительного образования. 


Установка и использование RansomFree


 
Начальное и конечное окна установки

RansomFree
Первое информативное окно после установки
RansomFree
Второе информативное окно после установки

 
Специальная папка RansomFree и её содержимое



После установки RansomFree создает специальную папку-ловушку на вашем Рабочем столе. Она имеет логотипную иконку и называется "This folder protects against ransomware. Modifying it will reduce protection" (перевод: "Эта папка защищает от вымогателей. Изменение её приведёт к снижению защиты"). 


Если вы заметили по иконкам в трее, то я протестировал работу RansomFree совместно с другими инструментами Anti-Ransomware. Справа от иконки RansomFree в трее расположены иконки AppCheck, BD Anti-Ransomware, потом утилита Lightshot для скриншотов и Norton Security. Все они прекрасно сочетаются, не грузят систему и не конфликтуют. Но это не значит, что также нужно делать всем. Я лишь сделал тест и не собираюсь навешивать анти-вымогательские утилиты друг на друга. Достаточно выбрать один Anti-Ransomware и один антивирусный инструмент класса не ниже Internet Security. 



Как работает защита RansomFree


Совмещая несколько методов обмана крипто-вымогателей, RansomFree обнаруживает их, как только начинается шифрование на ПК или сетевом диске. После обнаружения шифрования RansomFree приостанавливает его процесс, отображает всплывающее окно, которое предупреждает пользователя о том, что его файлы находятся в опасности и позволяет ему самому становить атаку.
RansomFree
Окно обнаружения угрозы


Подробности о файле угрозы

Подробности о файле угрозы можно просмотреть по ссылке "View affected files >". 

Если вы не знаете ничего об этой угрозе, мы рекомендуем вам нажать кнопку "Yes" (Да), чтобы остановить и очистить угрозу. RansomFree запоминает ваш выбор и потом уже автоматически остановит его повторное выполнение. Но, если вы решили позволить угрозе выполнение, то RansomFree, предупредив вас об этом конкретном файле, позволит ему работать. Как говорится, наше дело предупредить. 

В любом случае, мы рекомендуем вам проверить ваши файлы и убедиться, что они не были зашифрованы. Зашифрованные файлы обычно имеют другое расширение, могут быть переименованы в непонятной кодировке и не могут быть прочитаны или просмотрены средствами Windows. 
RansomFree

Вы можете отменить свой выбор в любое время, если щелкните правой кнопкой мыши на значке RansomFree в системном трее и выберите опцию "Clear history" (Очистить историю). RansomFree снова остановить выполнение того файла, которому вы прежде разрешили выполнение. 

💫💫💫

Пользуясь случаем хотим дать вам ещё несколько полезных рекомендаций. 

Сделайте ряд практических и превентивных шагов для защиты от крипто-вымогателей: 
1. Регулярно делайте бэкап важных файлов и проверяйте работоспособность бэкапа. 
2. Держите вашу операционную систему, защиту и браузеры в актуальном состоянии. 
3. Удалите Java и Flash-плагины, т.к. они уязвимы и используются злоумышленниками. 
4. Никогда не загружайте программное обеспечение из сомнительных и неофициальных сайтов. 
5. Не открывайте email-вложения или не нажимайте на подозрительные ссылки в письмах. 
6. Используйте анти-вымогательские инструменты, например, описанный здесь RansomFree.

Обновление от 12 мая 2017:
Cybereason RansomFree блокирует атаку шифровальщика WannaCry (WanaCrypt0r) основываясь исключительно на поведенческом обнаружении. 


Официальная страница утилиты:
https://ransomfree.cybereason.com/
...
Официальные страницы загрузки:
https://ransomfree.cybereason.com/download/
https://ransomfreedownload.cybereason.com/CybereasonRansomFree.msi
Страницы видеодемонстраций и тестов  
Официальная: https://www.youtube.com/watch?v=nr1w2mrOpto Альтернативная: https://www.youtube.com/watch?v=8irjdt0okg8


© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 5 января 2017 г.

AppCheck

AppCheck Pro

Anti-Ransomware Solution 


AppCheck и AppCheck Pro — инструменты категории Anti-Ransomware Solution для автоматической защиты системы от вымогательского ПО в ОС Windows 7 SP1 или более поздних.



Инсталлятор AppCheck

Основные языке программы корейский и английский. В будущем планируются и другие языковые версии.

Разработчики, компания CheckMAL сообщают о совместимости с антивирусным ПО. 

В AppCheck Pro заявлено обеспечение трёхуровневой защиты: Proactive Defense, Ransom Guard и Ransom Shelter и Auto Backup.


Proactive Defense - это проактивная защита

Ransom Guard и Ransom Shelter - это защита от выкупа
Auto Backup - это автоматический бэкап


Установка и использование AppCheck и AppCheck Pro


AppCheck
Начальное окно установки

AppCheck
Главное окно AppCheck

Версия AppCheck Pro отличается от бесплатной наличием расширенного функционала, в их числе Auto Backup, защита MBR, защита общих сетевых папок, автоматическое удаление обнаруженных Ransomware, которые в обычной версии отключены. 


AppCheck
Окна настроек AppCheck


Примечательно, что в бесплатной версии работает Auto Backup для дисков и флешек. Так, я заметил, что когда я вношу изменения в какой-то тестовый файл на флешке или удаляю какой-то файл с флешки, то утилита заботливо сохраняет оригинальную версию в специальную папку Backup(AppCheck)

Я заметил, что такая же папка создаётся и на системном диске. В ней сохраняются файлы в папках, которые я перемещал или удалял. Вот такой вот авто-бэкап. 
Чтобы удалить эти папки и файлы за ненадобностью, надо отключить защиту в реальном времени, а уже потом удалять. 

В текущей версии автоматически защищаются 46 типов файлов:
7z, ai, bmp, cer, crt, csv, der, doc, docx, dwg, eps, gif, hwp, jpeg, jpg, key, lic, mp3, ods, odt, ogg, one, p12, p7b, p7c, pdf, pef, pem, pfx, png, ppt, pptx, psd, ptx, rdp, rtf, srw, tif, tiff, txt, uti, x3f, xls, xlsx, xps, zip.

Пользователь может расширить этот список самостоятельно. 

AppCheck: Scan
Для запуска проверки нужно кликнуть по центральному кружку. Остановка тем же способом. 
AppCheck: Warning
Результаты проверки можно видеть в том же окне или открыть лог проверки. 

Вся работа почти прозрачна для пользователя. При автоматическом обнаружении атаки Ransomware, вредонос должен прихлопываться на лету. 
Во всяком случае на видео-демонстрациях с различными крипто-вымогателями это можно увидеть. 


Официальная страница утилиты:
https://www.checkmal.com/en/
...
Официальная справка (на корейском):
https://www.checkmal.com/page/support/help/
Страницы видеодемонстраций и тестов
Альтернативная: https://www.youtube.com/watch?v=n3YFKFgAhO8 Официальная: https://www.checkmal.com/page/resource/video/?@&p=1&pc=100
© Amigo-A (Andrew Ivanov): All blog articles.

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *