BlueRidge AppGuard 4.x Einstellungen

[Der Moloch]

Hallo zusammen.

Der Beta-Test der 4.x Version von BlueRidge AppGuard hat begonnen. Die letzte Beta (3.5.6.0) war sehr stabil und wurde unverändert in die Final übernommen. Als Termin für den Release der Final ist 15. Oktober angepeilt.

Download

Release Notes

Wichtige Neuerungen: Guarded Apps sollten sich jetzt selbstständig updaten können. Des Weiteren sollen Programme wie Sandboxie jetzt ohne irgendwelche Ausnahmen mit AppGuard zusammen funktionieren.

Wichtige Infos zur Lizensierung: Der Preis der 4.0 wird von 20$ auf 29,95$ erhöht. Wer sich jetzt eine Lizenz für die 3.x zum alten Preis kauft, wird wahrscheinlich kostenlos auf die 4.0 upgraden können.

Der Beitrag wurde von Der Moloch bearbeitet: 06.10.2013, 10:42

[Der Moloch]

Damit Malware auf Medium starten kann, muss sie digital signiert sein. Im Übrigen stimme ich zu, dass für einen vernünftigen Schutz vor Ransomware die privaten Ordner entsprechend konfiguriert werden müssen und Lockdown angezeigt ist. Selbst auf Lockdown könnten private Ordner noch Sinn machen, falls die Verschlüsselung im Rahmen eines Exploits direkt durch das kompromittierte Programm erfolgt - so weit sind wir aber zum Glück noch nicht.

Da du gerade Ransomware ansprichst, frage ich mich, inwiefern der Memory Guard auf Medium hier Abhilfe schaffen könnte. CTB-Locker und Cryptowall 3 missbrauchen ja Explorer.exe und svchost.exe für ihre Drecksarbeit. Allerdings weiß ich nicht, wie genau dieser Missbrauch stattfindet, da es entscheidend für die Funktion von MemoryGuard ist. Meines Wissens nach (mit Vorbehalt, ich bin mir nicht sicher!) blockt MemoryGuard keine Speicherzugriffe zwischen Vaterprozess und Kindsprozess. D.H. wenn die Malware eine bestehende Instanz von Explorer und svchost angreifen will, sollte es geblockt werden. Wird allerdings eine eigene Instanz erzeugt, bin ich mir nicht mehr sicher. Dazu weiß ich zu wenig über MemoryGuard.