Kuranin Anti-Ransomware (free)
#1
Kuranin Anti-Ransomware to właściwie nieznany rosyjski darmowy program do walki z ransomware...autorem jest Ilja Kuranin. Obszerny opis na Cnet (podkreślenia moje)

Cytat:Kuranin Anti-Ransomware is a new product from Ilya Kuranin, whose main task is to create a safe working environment with the elimination of the possibility of penetration into the system of Trojan encryption programs, including WannaCry, Xorist and other varieties. The program has versatile functionality: Basic real-time protection, based on two engines - own and ClamAV. Thus, the known malicious software will be immediately removed. Unique heuristic technologies that detect and block even new and unknown samples. Network control, through which dangerous web content is blocked, vulnerabilities are fixed, as well as dangerous ports are closed and hacker attacks are prevented from outside. Protection of all types of removable drives, including protection from USB worms, autorun-malware and "false folders". Ability to create "smart" restore points (disabled by default, recommended for computers with sufficient free disk space). This technology will help you to recover the data and the system in case the malware still affects the system files. The antivirus utility has a pleasant and intuitive interface, the ability to manually scan, manage logs and quarantine. The package includes an application for cleaning the registry. Extras. Information: It is preferable to use the operating system is not lower than Windows 7 and Server 2012, because on earlier versions the self-protection of the program does not work.
http://download.cnet.com/Kuranin-Anti-Ra...76849.html

Wg ostatnich informacji obecnie w bazie programu jest ok. 7 milionów sygnatur...niczego na razie nie powiem więcej, bo to wszystko co można znaleźć w opisach na forach MT czy BC jest bardzo enigmatyczne. Chwali się w każdym razie skutecznością wobec WannaCry, Petya, NotPetya i BadRabbit.
Pewnie go potestuję chwilę, choć mam od początku mieszane uczucia, bo instalator waży aż 176 MB, program po instalacji wymaga aż 700 MB wolnego miejsca na dysku.

Screen ze strony aplikacji
[Obrazek: screenshot.png]

Strona programu
https://www.kuranin.org/index.html
Wątki o programie
https://malwaretips.com/threads/kuranin-...are.76718/
https://www.bleepingcomputer.com/forums/...ansomware/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Przy pobieraniu ze strony producenta Windows Defender wykrywa Trojan:Win32/Fuery.A!cl
Odpowiedz
#3
Nie wiem...mój nic nie wykrywa, bo...nie pracuje Smile zainstalowałem KAR na zwirtualizowanym (SD) Win8.1 na nowym laptoku żony i od razu mi coś wykrył w procesie service.exe, ale zignorowałem to. Dalej dwa spostrzeżenia
- Centrum akcji powiadomiło o konieczności ponownego uruchomienia ze względu na wyłączenie UAC
- i że zapora systemowa została wyłączona lub niepoprawnie skonfigurowana
Wniosek dla mnie - program wyłącza kontrolę użytkownika oraz zmienia/wyłącza zaporę systemową, ponieważ realizuje swoją politykę kontroli sieci. Zasoby jednak podczas pracy zużywane sa na przyzwoitym poziomie - 3 procesy (w tym jeden to okno aplikacji, które nie pracuje normalnie)
   
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Program wygląda podejrzanie, ogromna kilkusetmegowa baza nie wiadomo z czym, wykrywa systemowe pliki jako wirusy i na koniec najlepsze jest podpisany nieprawidłowym certyfikatem.
Odpowiedz
#5
Sam Windows Defender oznaczył i usunął same exe jako wysokie zagrożenie.
Odpowiedz
#6
Wczorajsza informacja autora aplikacji
Cytat:Today I released a new version of Kuranin Anti-Ransomware, where the following bugs were fixed:

1) Fixed the problem of working in English-speaking operating systems (now when you start Windows, the program is launched first without any problems)
2) Updated antivirus signatures for November 1 state
3) The program self-protection error has been fixed (currently unauthorized unloading of working processes is impossible)
4) Fixed the issue of "crash" utility when Trojan programs are detected, encryptors.
5) Reduced CPU load during operation
Poza tym sporo informacji na temat działania programu, odpowiedzi na uwagi użytkowników... w tym dotyczące również UAC czy zapory.
https://malwaretips.com/threads/kuranin-...ost-685406
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#7
Heh bazy robi z plików VirusShare, VirusSign, Malcode Database, VXvault czyli ma o niebo mniej sygnatur w bazie za to sam plik z sygnaturami jest ogromny.
Odpowiedz
#8
Sprzed kwadransa

Cytat:Small Update]

1) The update module is rewritten, now when the processes are loaded the anti-virus utility is loaded correctly
2) Fixed a problem with the ActiveX component (buttons with the appearance of Windows XP)
3) Updated the component to clean the registry OS, now select or cancel all items by right-clicking on the list
4) Accelerated scanning on demand, reduced CPU load (now the core takes up no more than 7-8% of resources)

I would like to draw your attention to the fact that you must download the distribution kit from the official website, because it's the newest one! On other resources, the installer may be out of date.

Warto wspomnieć, że program posiada dodatkowy moduł czyszczenia pozostałości infekcji infekcji w rejestrze
[Obrazek: proxy.php?image=https%3A%2F%2Fi.imgur.co...00170a06aa]
https://malwaretips.com/threads/kuranin-...ost-686765
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#9
Program ma już prawidłowy cyfrowy podpis czy nadal podrabiany ?
Odpowiedz
#10
Jak to podrabiany? Jest self-signed developera czy został skradziony od kogoś innego?
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#11
Jest cos takiego:

[Obrazek: fLmsqoO.jpg] [Obrazek: UWqPLzZ.jpg] [Obrazek: 7Q2CpDy.jpg]
Odpowiedz
#12
Ciekawe czy Symantec o tym wie Grin
Odpowiedz
#13
Ale od marca trwa przepychanka między Google a Symantec w związku z certyfikatami...chodzi o ponad 30 tys. związanych z powiązanymi ze sobą markami Symantec, GeoTrust, Thawte, RapidSSL. Może to właśnie skutek tego zamieszania?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#14
Nie wydaje mi się, widać cert wystawiony wczoraj i to aż do 2040 roku
Odpowiedz
#15
Moim zdaniem ten program to porażka.

Certyfikat wydaje się być nieważny, brak podpisu na poziomie samego instalatora, chociaż w pamięci znajduje się adres ( ascii,32,.ORiEN  :0000A94E,x,-,http://ts-ocsp.ws.symantec.com07 )
na który próbuje zweryfikować certyfikat SSL firmy Symantec na serwerze.

inne dane np.
https://www.virustotal.com/pl/file/6f740...509882096/
https://www.virustotal.com/pl/file/94a1d...509882128/


komunikacja z adresem ftp (185.50.25.15) ,ale rozumiem że chyba zostają na ten adres wysyłane wykryte anomalie. Dodatkowo zostaje zmieniony plik hosts w celu dodania adresów które są blokowane.

Ingeruje w chronione klucze rejestru (chociażby w politykę grup) DisableSR > DisableConfig > DisableCMD > NoFolderOptions > DisableRegistryTools > DisableTaskMgr >DisableMSI i inne.

Dodaje do klucza : HKEY_CURRENT_USER\Software\Sysinternals następujące pozycje w celu akceptacji umowy(domyślnie się one nie dodają nawet jak uruchomimy jeden z programów Microsoftu):
HKEY_CURRENT_USER\Software\Sysinternals\AccessChk]
"EulaAccepted"=dword:00000001

[HKEY_CURRENT_USER\Software\Sysinternals\AccessEnum]
"EulaAccepted"=dword:00000001

[HKEY_CURRENT_USER\Software\Sysinternals\AdExplorer]
"EulaAccepted"=dword:00000001

[HKEY_CURRENT_USER\Software\Sysinternals\AdInsight]
"EulaAccepted"=dword:00000001

[HKEY_CURRENT_USER\Software\Sysinternals\AdRestore]
"EulaAccepted"=dword:00000001

Nie wiedzieć czemu wyłącza firewalla - może by przeszkadzał ? Wyłącza też kontrole konta użytkownika (UAC).

Może autor mógłby się z tego wytłumaczyć ? I dlaczego po odinstalowaniu programu nie przywraca wartości które zostały zmienione ,co w zasadzie przekłąda się później na bezp. użytkownika.
Odpowiedz
#16
Z certyfikatem afery bym nie robił, każdy może sobie taki wyrobić. Problem w tym, że on nic nie daje np. Windows dalej będzie walił komunikaty o nierozpoznanym dostawcy. Dziwniejsze jest to wyłączanie UAC czy zapory.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#17
Wspominałem o zaporze i UAC w poście #6, ale niech będzie Tongue

Cytat:UAC disconnects due to the fact that the utility requires administrative rights to run the utility, and it is inconvenient to allow the program to run at every startup, despite the fact that the components have a digital signature ... An inexperienced user can answer "no", so the Kuranin AR simply can not perform their functions.[url=https://malwaretips.com/threads/kuranin-anti-ransomware.76718/#post-685764][/url]
Cytat:The program disables the standard Windows firewall because it already has network security components. But you can also use other firewalls and antivirus software by adding KAR to the list of exceptions. This is necessary because in the case of limitations the application simply can not perform its work correctly, or it will not be able to update. UAC is disabled due to inconvenience, but you can turn it on and it will not be turned off any more.
Cytat:The anti-virus utility already has a firewall, so there is no need for the Windows firewall. In addition, the antivirus requires access to the network for updating, so that certain conflicts may arise. However, you can enable the firewall from Microsoft manually, in the future it will not be turned off.

UAC disconnects due to the fact that the utility requires administrative rights to run the utility, and it is inconvenient to allow the program to run at every startup, despite the fact that the components have a digital signature ... An inexperienced user can answer "no", so the Kuranin AR simply can not perform their functions.

Nie wiem, jak bardzo się to trzyma kupy, ale jak widać są to zamierzone działania dewelopera i zachowania programu.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#18
Gdyby Kuranin był dobrze napisany, to działałby jako usługa i wtedy nie wymagałby wyłączenia UAC. Moim zdaniem, taki stan jest nie do zaakceptowania.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#19
Jeśli ochrona tego programu przed ransomami ma polegać tylko na sygnaturach, to życzę mu powodzenia.

Ransom odświeżony przez zmianę tylko hasha.

Jak widać poniżej ransom zakodował jego samego, Kuranin się już nie uruchamia

[Obrazek: BtNsTjq.png]

[Obrazek: 20KUi5J.png]

[Obrazek: k5MInhN.png]

Przy innych występuje również bsod
Odpowiedz
#20
No i pozamiatane Smile

https://malwaretips.com/threads/kuranin-...ost-687884
Odpowiedz