Понеже са спрели безпатната версия на SpyShelter от тук все още може а си вземете три месечни лицензи за платените версии:

https://www.spyshelter.com/pcworldpl/

Абе,колеги,що затворихте темата!?

Тъкмо стана интересно...и хоп...няма дискусия....Вярно ,че не сме като "Политика"-та...на ден по 5 нови теми,с едно и също послание...ама все пак..и ние сме хора...няма ме ли право да знаем кво мислят хората....???

Spoiler

Въпрос на време беше,да "изчезват" постове .....Радвам се, че има още мислещи модератори в тази секция и нещата се държат под контрол.Съжалявам само,че не им се казаха причините...на колегите...и що ли не им заминаха постовете,там където им е мястото...

 

Малко се оляха. И премина на вечния спор Уиндоус-Линукс. А не по темата, за пробойната.

Ъъъ... следващият ми коментар ще е със.. силно политически оттенък, но предварително да вметна, че съм антипутинист (това, че не участвам често в политическия форум не значи, че не го следя). Та, днес ми направиха впечатление едно нещо, което... ами няма какво да се коментира. Както знаете (виж по-горе заключената тема), Гугъл се проявиха като истински тролове и съобщиха за активно експлоатираща се, но непокрита уязвимост (0day) в Уиндоус, с което поставиха в риск много потребители на Уиндоус (а с това и потребиттели на десктоп версията на "Хром" ).

 

от най-известната (предполагаемо) руска APT (Advanced Persistent Threat) група. Наричана е от Майкрософт STRONTIUM, а Тренд Майкро, Fireeye, ESET и други използват Sofacy, APT28, Sendnit и тъ нъ. Не съм убеден, че нещо не ги мешат, ма нейсе. НИКЪДЕ, никъде, Майкрософт не споменават Русия, но какво правят медиите.

https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/

WallStreet Journal: "Майкрософт заявява, че руски хакери са експлоатирали уязвимост в "Уиндоус". Моля? Връщам се на блога на Майкрософт. Чеша се по главата. Хм... Сигурно са го кодирали това явно.
Ройтерс: "Майкрософт казва, че свързани с Русия хакери са експлоатирали..."
International Business Times: Microsoft says Russia-linked Fancy Bear hackers are exploiting Windows zero-day flaws
и още:

https://www.google.bg/search?q=microsoft+strontium&ie=utf-8&oe=utf-8&client=firefox-b&gfe_rd=cr&ei=8ZIcWO3JIIHY8AeFgI6YAg#q=microsoft+strontium+russia

http://www.wsj.com/articles/microsoft-says-russian-hackers-exploited-flaw-in-windows-1478039377
http://www.reuters.com/article/us-microsoft-cyber-russia-idUSKBN12W4ZK
http://www.ibtimes.co.uk/microsoft-says-russia-linked-fancy-bear-hackers-are-exploiting-windows-zero-day-flaws-1589419

Така, какво е важното в случая. За разлика от медиите, които явно търсят кликове или кой знае какво, в Майкрософт работят наистина добри специалисти. Акцента тук за мен е отново въпроса за атрибуцията - приписването на отговорност. Супер тънък лед, по който баш пък Майкрософт няма да тръгнат, но една... лъжа да я наречем, понеже може да е Китай - защо не, повторена 100 пъти нерядко става истина. Защо е важно ли? "Столтенберг предупреди: НАТО ще реагира на кибератаки с разполагане на конвенционални оръжия".

http://novinite.bg/articles/114683/Stoltenberg-predupredi-NATO-shte-reagira-na-kiberataki-s-razpolagane-na-konvencionalni-orajiya
Както се казва, на печелившите честито. Иначе дали са кремълски хакери? Ми... според мен нищо чудно. Но, важното тук е, че някои от тези атаки е невъзможно да бъдат приписани с максимална точност, а една грешка, може да повлече със себе си немислимото (вж. Столтенберг). Мико Хипонен го казва, Брус Шнайер го казва. Кой ли сериозен анализатор, неангажиран политически не го казва. Има ги false-flag атаките, има грешки, със сигурност е достатъчно сложно. Особено, ако залогът е конвенционална военна операция.

Не го публикуван в новините, щото не искам, мързи ме, а и ще ме полазят някакви тролове, после няма оттърваване от тях...

В публикацията на Майкрософт има линк към пдф с доклад за strontium. Те може и да искат да кажат "руски хакери", но никъде не посочват и не казва подобно нещо.

Така, че "Майкрософт казва, че руски/кремълски хакери..." е чиста и откровена лъжа. Майкрософт се държат като професионалисти и не заявяват в прав текст нищо подобно. Идентифицират групата, но не твърдят нищо повече от това.

Иначе, както казах, най-вероятно са такива, според мен. Освен ако не са американци. Ма... нещо не виждам логиката...

Редактирано 4 ноември 20169 г. от Методи Дамянов (преглед на промените)

преди 7 часа, Методи Дамянов написа:

Не го публикуван в новините, щото не искам, мързи ме, а и ще ме полазят някакви тролове, после няма оттърваване от тях...

 

Излиза,че и ти си забелязал ,че форума е налазен от тролове, което си е точно така. Тъй,че моли се да не видят поста ти тука.

преди 7 часа, Методи Дамянов написа:

Ъъъ... следващият ми коментар ще е със.. силно политически оттенък, но предварително да вметна, че съм антипутинист (това, че не участвам често в политическия форум не значи, че не го следя).

Ъъъъ да ти дам ли връзки към тролове в политическите теми, които се определят като антипутинисти? Защото както си написал поста излиза,че е налазен от такива, а в същото време има няколко пишещи нон стоп 24-7 от тия умните и красивите антипутинисти дето осраха форума.

И що е то путинист и антипунист? Сами се вкарвате в някакви филми, има хора с различно виждане но да се слагат такива квалификации на хора заради техните виждания...мдааа на какво ти мяза това? Виждаш ли докъде я докараха медиите и тия дето им плащат?

Редактирано 4 ноември 20169 г. от nikssi (преглед на промените)

Малко за разпускане. Не е с добър рейтинг филма но пък е в духа на темата тук.

http://www.imdb.com/title/tt2679552/

На мене ми беше интересен.

Здравейте, колеги. Супер странната случка. Регвам се във форума и ми изпада един .doc файл. Според VT е ок.

https://www.virustotal.com/bg/file/0c5c92ddd6bd4a94d4cadac46fcceab6970862c978d4b20cd1eb8993ef140181/analysis/1478800222/

 

WTF?!

парола: **

kushta_1.7z

Редактирано 10 ноември 20169 г. от Методи Дамянов (преглед на промените)

MBAM и 360 TS не намериха заплахи в него. Стартирах го в Sandbox-a на 360 TS, а и самия LibbreOffice освен, че е с високи настройки за сигурност се пази от MBAE и Comodo Firewall.

Според мен е безвреден.

 

 

 

Адски странно... Некъв бъг вероятно? Случвало ми се е един или два пъти така да "изпадне" от някой сайт index.php файл...

Редактирано 10 ноември 20169 г. от Методи Дамянов (преглед на промените)

Интересна тема:

https://malwaretips.com/threads/do-you-use-security-reg-tweaks.65437/#post-564741

Тулче за тестване защитата от рансъмуеър.

https://www.knowbe4.com/typ-ransim-form

 

https://www.wilderssecurity.com/threads/voodooshield.313706/page-528#post-2632235

преди 8 часа, BreakPoint написа:

Тулче за тестване защитата от рансъмуеър.

https://www.knowbe4.com/typ-ransim-form

 

https://www.wilderssecurity.com/threads/voodooshield.313706/page-528#post-2632235

Трябва да се тества. Благодаря.

Поздрави

Инсталирах инструмента и го стартирах. Позволих го като доверен в 360 TS (защото скочи) и пуснах тестовете.

С HIPS-a при спиране на заявките, които се опитва да направи файла преминава теста успешно (обаче трябва да се знае дали трябва да се позволи или спре заявката...ако не бе тест за който се знае, че трябва да се блокира и имената на файловете, които създаваха заявките бяха други, това би повлияло на отговорите на въпросите от страна на HIPS-a).

При Auto-Sandbox-a стартирането на файла не бе блокирано. След стартиране на тестовете, sandbox-a сам блокира и 5-те заявки автоматично и теста мина на 100%.

По-време на теста защитата на 360 TS за защита от ransomware не гъкна (може би, защото файла бе добавен в доверените списъци)...CryptoPrevent бе пуснат с правилата ми в Local Security Policies (да блокират exe файлове от %temp% папката и нейните подпапки - смея да твърдя, че с пуснати правила и със спрени правила, това не повлия на теста). Иначе при спрян CIS резултатите бяха интересни.

С пуснат CIS:

Разбира се с изключен CIS резултата е обратния.

Като цяло при HIPS-a имаше леки колебания...един път не даде диалогови прозорци за блокиране...и резултата бе 5/5 за червения прозорец и 1/5 за зеления. След това си поиграх и спрях временно Cloud анализа и trusted vendors и след нов тест вече питаше. След това пуснах пак Cloud-a и Trusted Vendors и вече си питаше...не знам защо така се получи след като макар и цифрово подписан файла не фигурираше в списъците на CIS. В лог файла не видях и да е бил изпратен за онлайн проверка...Може би нещо се е бил бъгнал, но вече така или иначе прогледна и HIPS-a. За по-сигурно изтрих всички правила, които бях запаметил от стартирането на файла и го стартираш начисто и пак си питаше. Все тая де, но Sandbox-a ми остави по-добри впечатления този път.

Хм, KFA го прибра:

Цитат

20.11.2016 20.37.12    Обнаружен объект (файл)    C:\Users\....\Documents\RanSim\Launcher.exe    Программа: Windows® installer    Файл: C:\Users\...\Documents\RanSim\Launcher.exe    Время: 20.11.2016 20:37    Название объекта: HEUR:Trojan.Win32.Generic

 

Предполагам фалшиво засичане на евристиката, въпреки че е на минимално ниво...

 

 

Теста не бе преминат от Comodo Cloud Free Antivirus, въпреки че стартира файла в сандъка. Появаиха се две съобщения за изолиране, но резултата бе Vulnerable 5/5. Може и да не е коректен теста под сянка. Ако иска някой друг да пробва.

Също така забелязах, че CryptoPrevent също не е ефикасен срещу този тест на максимални настройки. Същия резултат...Предполагам теста е неприложим за неговите метод и политики на защита...

Без сянка (SD) и при стартиране на теста, Crypto Prevent също е без реакция.

KFA 17.0.0.611 (b), обаче блокира и изтри зловредно имитиращите модули на програмата, въпреки че сложих Launcher.exe в доверените файлове на Касперски за да мога въобще да стартирам теста...

Редактирано 20 ноември 20169 г. от viperdick (преглед на промените)

преди 2 часа, viperdick написа:

Хм, KFA го прибра:

Предполагам фалшиво засичане на евристиката, въпреки че е на минимално ниво...

Фалшиво е да, то си го пише на сайта им във FAQ:

Цитат

 

a. My antivirus flagged RanSim.exe, Launcher.exe, or RanSimSetup.exe as malicious. 

If this occurs, it is a false positive. There is no dangerous code in the files, and these files are not doing any testing/recording in regards to whether your system passes/fails the simulation of ransomware. They are simply the framework with which run the Ransomware simulation, so you can (and should!) allow them to run.

 

https://knowbe4.zendesk.com/hc/en-us/articles/229040167

преди 1 час, viperdick написа:

Теста не бе преминат от Comodo Cloud Free Antivirus, въпреки че стартира файла в сандъка. Появаиха се две съобщения за изолиране, но резултата бе Vulnerable 5/5. Може и да не е коректен теста под сянка. Ако иска някой друг да пробва.

Също така забелязах, че CryptoPrevent също не е ефикасен срещу този тест на максимални настройки. Същия резултат...Предполагам теста е неприложим за неговите метод и политики на защита...

Без сянка (SD) и при стартиране на теста, Crypto Prevent също е без реакция.

Интересно...мислех, че sandbox-a на Comodo Cloud е по-добър от този в CIS като се има предвид, колко здраво работят над този продукт + Valkyrie, а се оказва, че CIS минава теста. Но може и да е заради SD наистина. Аз обаче пак си минах на HIPS. Нещо не ме радва за работа sandbox-a. Опитах се да деинсталирам вече теста и Comodo изолира дори деинсталацията. Като дадох да не се изолира се създаде правило в sandbox-a...Ако трябва тепърва и него да обучавам...а HIPS-а ми поне вече е обучен.

Иначе съм споменал, че и моя тест бе с включен CryptoPrevent, но той и няма как да помогне много тук, защото е по-скоро пасивна защита. Ако пък се създаде правило да блокира изпълнението на *.exe файловете от My Documents (от която папка се стартира теста) то теста изобщо няма да тръгне така или иначе.

преди 2 часа, viperdick написа:

KFA 17.0.0.611 (b), обаче блокира и изтри зловредно имитиращите модули на програмата, въпреки че сложих Launcher.exe в доверените файлове на Касперски за да мога въобще да стартирам теста...

Не в доверените, а в изключенията трябва да се поставят. Ето при KTS 2018 BETA

Цитат

 

20.11.2016 23.49.51;Обнаруженный объект (память процесса) не обработан;C:\Users\nikssi\Documents\RanSim\Launcher.exe;C:\Users\nikssi\Documents\RanSim\Launcher.exe;PDM:Trojan.Win32.Bazon.a;Другая вредоносная программа;11/20/2016 23:49:51

 

 

Webroot - добро представяне с блокиране. естествено първо се наложи да разреша лаунчера.

Интересно...на снимката е блокирал само 3 файла, вместо 5, а минава теста на 100%? При CIS са 5. Гледам че и при KIS са сигурно 5 (просто от снимката се виждат само 4, защото плъзгача не е мръднат надолу).

ESET Smart Sec 10 - На смарт режим хипса, провал, на интерактивен, тръгва и дотам, на "базиран на правила", тръгва и дотам... мисли-мисли... На "автоматичен" - като на "смарт".

Редактирано 21 ноември 20169 г. от Методи Дамянов (преглед на промените)

Пуснах теста,последва предупреждение за старт в пясъчника,ето резултата

 

После изключих  пясъчника и HIPS-а ме сбърка от въпроси..Сега ще пусна и Есет ...самостоятелно...да видим как е...

Потвърждавам казаното от Методи за Есет...

Редактирано 21 ноември 20169 г. от NIKISHARK (преглед на промените)

Все ми се ще някой с инсталиран Comodo Cloud Free Antiwirus да пробва на реална машина...

Някой пробвал ли е последните решения от Symantec? Особено последния SEP? Били някакви много advanced.. Макар че според мен и така си беше advanced тоя Нортън последния...

 

П.С. Аларма! Вероятно пак тече някаква спам кампания във Фейсбук - за тези, които имат акаунт там. Трима мои познати алармираха да не им отварям лични съобщения, така че, внимавайте. Интересно, че не са им превзели явно акаунтите напълно щом алрмират за това....

Редактирано 21 ноември 20169 г. от Методи Дамянов (преглед на промените)

Kaspersky OS, това звучи обещаващо.. Анти-вирусна компания да прави операционна система..

преди 11 минути, Mr.n0b0dy написа:

Kaspersky OS, това звучи обещаващо.. Анти-вирусна компания да прави операционна система..

Ама то и сега Kaspersky AV си е цяла операционна система. ;))