SBGuard Anti-Ransomware
#1
Nowy przedstawiciel programów zwalczających ransomware czyli SBGuard Anti-Ransomware - to program stworzony i rozwijany przez raczej mało znaną australijską firmę Sydney Backups. Niewiele można o programie powiedzieć póki co...informacje na stronie producenta to raczej tekst marketingowy przeznaczony dla niezbyt zorientowanego/niewymagającego użytkownika i takie opinie przeważają w dotychczasowych recenzjach i opisach...zdziwienie jednak, że program właściwie zadebiutował wczoraj, a już tak sporo materiałów na jego temat. Możliwe, że to zwyczajnie zapotrzebowanie na coś wreszcie skutecznego, więc zapewniającego ochronę w szerokim zakresie i dla każdego.

Program jest bardzo ubogi w funkcje,co widać na screenie poniżej - właściwie mamy tylko
- przycisk do włączenia ochrony i zablokowania/zamknięcia systemu
- przycisk do wyłączenia ochrony
- przycisk restartu systemu, co ochronę aktywuje
Ponadto nie generuje żadnych komunikatów - po prostu blokuje bez konieczności ingerencji ze strony użytkownika.

[Aby zobaczyć linki, zarejestruj się tutaj]



źródło obrazka

[Aby zobaczyć linki, zarejestruj się tutaj]


SBGuard Anti-Ransomware wg opisu producenta działa na zasadzie wmontowania w system restrykcji lub modyfikacji na pewne określone i charakterystyczne dla ransomów części rejestru, obszary systemu, rodzaje plików wykonywalnych, które mają za zadanie ich wykrycie i zablokowanie. Działa więc podobnie, jak wcześniejsze wersje CryptoPrevent, ale bez możliwości ingerencji użytkownika w ustawienia.
Ma blokować m.in. szkodniki z rodzin CryptoLocker, CryptoWall, TeslaCrypt, CryptoXXX, CTB-Locker, Zepto, a testy wskazują na całkiem przyzwoitą w tym skuteczność.

Cytat:t injects around 700 registry entries to force Windows Group Policy to use inbuilt software execution restriction capabilities in certain locations and prevent certain file types from executing.


Niestety każdy kij ma dwa końce i widać to w działaniu tego programu też...program potrafi zablokować nie te komponenty systemu, co potrzeba i mieć czasem spore konflikty z innymi aplikacjami. Producent lojalnie o tym informuje i wydaje się, że jedyną metodą na razie by tych problemów uniknąć, jest po prostu wyłączenie SBG.

Program działa na systemach Win 7 i nowsze, wymaga co najmniej .net framework 3.5 oraz uprawnień administratora do wprowadzenia zmian w systemie. Jest darmowy, ale wymaga rejestracji mailowej do uzyskania linku do pobrania instalatora.


Strona prodgramu

[Aby zobaczyć linki, zarejestruj się tutaj]

Recenzje i dyskusje

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Jest nowa wersja 1.4.5 - listy zmian nie znalazłem, ale na stronie programu pojawił się nowy screen z programu, który wskazuje na rozbudowanie interfejsu i możliwość dokonywania pewnych zmian w ustawieniach.

[Aby zobaczyć linki, zarejestruj się tutaj]


Ponadto na Wildersach autor informuje o zmianach w samym mechanizmie programu i nowych obszarach, które chroni.
Dodatkową jeszcze informacja autora jest opis działania SBGuard, który wyjaśnić ma, czemu niektóre testy wskazują na jego słabość lub wręcz bezużyteczność...wynika to stąd, że SBG nakłada na restrykcje na obszary systemu, w których faktycznie mogą znajdować się (i w realnych przykładach infekcji faktycznie tam są) pliki uruchamiające dalszy proces infekcji...takie pliki/akcje są z powodzeniem blokowane. Natomiast testy, w których szkodniki uruchamiane są z lokalizacji typu pulpit czy napę USB są właściwie bez sensu, bo w tych lokalizacjach nie powinno być w ogóle szkodników ze względu na działanie innych - jak np. AV - programów zabezpieczających.
Więcej tu

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Bardziej od programu, który miałby blokować ransomware, co i tak nie jest 100% bo oprogramowanie potrafi zablokować inne komponenty systemu, przez co użytkownik musi go w ogóle wyłączać, lepiej byłoby skupić się na opracowaniu deszyfratorów.
Oprogramowanie ransomware instaluje się, szyfruje pliki i następnie (zazwyczaj) samo usuwa.
Odpowiedz
#4
Wystarczy porządny HIPS i Piaskownica opcjonalnie dorzucić jakiś anty-exe z polityką SRP (dodatkowe restrykcje)
Te anty Ransomware są słabe i sprawdzają sie w przypadku kilku znanych wirusów ale ze znanymi to i typowy AV z beznadziejnym behaviorem sobie już poradzi..
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#5
Z takich ciekawostek, miałem kilka komputerów zarażonych tym ustrojstwem w swoich rękach. W każdym z tych przypadków ransomware dostawało się z normalnych, legalnych stron www poprzez skrypty reklamowe. Zainfekowane były prawdopodobnie witryny z reklamami. W każdym z przypadków przeglądarką był Firefox. Właściciele niestety nie posiadali oprogramowania antywirusowego, albo było ono wyłączone, nie posiadali blockerów reklam.
Odpowiedz
#6
(13.10.2016, 09:18)wredniak napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

...Zainfekowane były prawdopodobnie witryny z reklamami. ..

Od jakiegoś czasu pojawiają się plotki że Adwords zostało złamane i w ich reklamach są skrypty z wirusami.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości