Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Bitdefender et son vaccin anti-ransomware

http://korben.info/bitdefender-vaccin-anti-ransomware.html
Si vous connaissez des gens autour de vous, qui sont plus à risque sur le sujet “ransomware”, ne les abandonnez pas à leur sort ! La société BitDefender a mis en ligne un genre de “vaccin” gratuit qui permet de bloquer les installations inopinées de CTB-Locker, Locky et TeslaCrypt, y compris dans leurs prochaines versions…

Maintenant reste a trouver une solution pour installer celui ci sur nos 500 postes clients :slight_smile:

Ouai, manque plus que l’installation silencieuse et un paramètre à l’install qui le mettrait en Minimize to tray on startup. Car là, les users vu le big truc vert que sa affiche au boot, ils vont se croirent vérolé :wink:

1 J'aime

Ou continuer d’utiliser son antivirus favoris (donc pas BitDefender) qui, de toutes façons, inclut ce genre de fonctionnalité :stuck_out_tongue:

Je viens de l’automatiser. J’ai crée un .bat.
Tu dl le .exe derrière tu mets /silent et tu fais un test sur le dossier pour ne pas l’installer à chaque fois.
Puis déploiement par gpo à l’ouverture ou fermeture session.

Salut, Kaspersky le considère comme un trojan, mais il s’agit peut être d’un faut positif. Ce qui m’étonne de Kas.
31.03.2016 09.34.09;Detected object (process memory) was deleted.;
c:\users\admin\appdata\local\temp\is-bo4r8.tmp\bdantiransomwaresetup.tmp;
c:\users\admin\appdata\local\temp\is-bo4r8.tmp\bdantiransomwaresetup.tmp;
PDM:Trojan.Win32.Generic;Other malware;
03/31/2016 09:34:09
J’essaie actuellement l’équivalent de ce anti-ransomware de chez malwarebytes et je n’ai pas rencontré ce problème.

oui, mais pour celui de malwarebytes :
install the product in non-production environments for testing

J’ai réussi à faire la même chose et ça se déploie bien sauf que, pas moyen de réussir à cocher l’utilitaire sur “ON” (Immunization)

Sous Virustotal 0/56 et depuis 3 jours que je l’ai sur mon poste, j’ai rien d’anormal, de plus il est très légé en mémoire.

Au passage j’ai trouvé comment mettre les 2 “Minimize to tray” à ON à l’install.
Je vous donne mon scrip d’install :

if exist "C:\Program Files\Bitdefender\Tools\BDAntiRansomware" goto fin
"\\VOTRE DOMAIN.local\SysVol\VOTRE DOMAIN.local\Install\AntiRansomware\BDAntiRansomwareSetup.exe" /silent
REG ADD "HKEY_CURRENT_USER\Software\Bitdefender\BitdefenderAntiCryptoWall" /v "RunAtStartup" /t REG_DWORD /d 00000001 /f
REG ADD "HKEY_CURRENT_USER\Software\Bitdefender\BitdefenderAntiCryptoWall" /v "MinimizeAtStartup" /t REG_DWORD /d 00000001 /f
REG ADD "HKEY_CURRENT_USER\Software\Bitdefender\BitdefenderAntiCryptoWall" /v "MinimizeOnClose" /t REG_DWORD /d 00000001 /f
REG ADD "HKEY_CURRENT_USER\Software\Bitdefender\BitdefenderAntiCryptoWall" /v "LoadSelfProtect" /t REG_DWORD /d 00000000 /f
:fin

Bonsoir et merci.
j’ai testé ton scrip avec simplement

REG ADD “HKEY_CURRENT_USER\Software\Bitdefender\BitdefenderAntiCryptoWall” /v “RunAtStartup” /t REG_DWORD /d 00000001 /f
REG ADD “HKEY_CURRENT_USER\Software\Bitdefender\BitdefenderAntiCryptoWall” /v “MinimizeAtStartup” /t REG_DWORD /d 00000001 /f
REG ADD “HKEY_CURRENT_USER\Software\Bitdefender\BitdefenderAntiCryptoWall” /v “MinimizeOnClose” /t REG_DWORD /d 00000001 /f
REG ADD “HKEY_CURRENT_USER\Software\Bitdefender\BitdefenderAntiCryptoWall” /v “LoadSelfProtect” /t REG_DWORD /d 00000000 /f

car j’ai déjà un script qui télécharge le fichier sur les machines clients, puis l’installation en silent.
Le problème est que je arrivent pas le faire exécuter au lancement de Windows.
ton script inscrit bien les info en base de registre, mais l’icone en bas a droite n’est toujours pas la.
ce que je ne comprend pas est que quand on l’exécute le fichier d’installe normalement, il s’ouvre tout seul, et quand on le lance à distance, rien ne se passe…
a tu une idée ? j’ai peut être manqué une étape :frowning:

merci pour ton scrip en tout cas

Effectivement, y a un souci. Je suis débordé en ce moment donc pas trop time pour creuser.
Si ça se trouve c’est parce qu’il faut lancer les REG ADD avant l’install.
Ou sinon c’est parce que le soft veux faire une modif dans le système et il est bloqué à chaque fois par manque de droit.