Искусственный интеллект спасёт от ransomware

    Acronis True Image — это надежное решение в области защиты данных пользователей. В Acronis True Image 2017 и Acronis True Image 2017 New Generation мы задали очень высокую планку во всем, что касается надежности, простоты и удобства работы. В эти продукты были внедрены резервное копирование и восстановление данных профилей социальной сети Facebook, система проактивной защиты от программ-вымогателей Acronis Active Protection, основанная на технологии Blockchain функция нотаризации данных Acronis Notary и цифровая подпись электронных документов с помощью Acronis ASign. Кроме того, в версию программы для macOS мы добавили поддержку NAS и возможность беспроводного резервного копирования мобильных устройств.



    С каждым годом количество угроз продолжает расти, они становятся сложнее и опаснее. Согласно данным Лаборатории Касперского, во втором квартале 2017 года было обнаружено 15663 новых модификаций программ-вымогателей (для сравнения за тот же период 2016 года новых вредоносов было почти на 70% меньше — 9226) и зафиксировано 268284 атак.


    Рисунок 1. Количество новых модификаций программ-вымогателей согласно данным Лаборатории Касперского

    Две самые масштабные атаки произошли в этом году. Сначала в мае программа-вымогатель WannaCry атаковала телефонные компании, больницы, заводы и сотни других организаций в более чем 100 странах, а затем, в июне, шифровальщик NotPetya заставил тысячи пользователей  по всему миру пожалеть об отсутствии резервных копий своих данных.


    Рисунок 2. Количество атак программ-вымогателей согласно данным Лаборатории Касперского

    Сегодня про эти кибератаки  говорят крупнейшие мировые СМИ, поэтому пользователи  начинают лучше представлять масштаб угрозы. Согласно данным нашего глобального исследования на тему защиты данных, о программах-вымогателях знают почти 50% респондентов, против 35% в прошлом Исследование прошло в августе этого года, в нем приняли участие пользователи из США, Великобритании, Австралии, Японии, Германии, Франции и Испании.

    Однако пока еще низкая осведомленность пользователей и постоянное усложнение кода программ-вымогателей не оставляет сомнений, что количество атак будет расти, а значит и решения по защите данных тоже должны совершенствоваться.

    Поэтому одним из основных нововведений Acronis True Image 2018 стала технология Acronis Active Protection 2.0, которая и призвана «отбивать атаки». В основе представленной в начале года технологии Acronis Active Protection лежат поведенческие эвристики, которые помогают выявить подозрительную активность и предотвратить атаки программ-вымогателей. Такой подход к защите прекрасно работал и работает для большинства существующих зловредов, однако, их современные версии настолько продвинуты, что могут «обмануть» систему. Представьте себе вредоносца, который внедряется в MS Word, и, шифруя все документы целиком, оставляет заголовки нетронутыми. В этом случае поведенческая эвристика не относит это процесс к опасному, и зловред успевает «частично зашифровать» почти все файлы до того, как вы успеете что-то предпринять.

    Для того, чтобы противостоять и таким атакам, в Acronis Active Protection 2.0 был внедрен ML(machine learning) Engine, который анализирует работу как зараженных и незараженных программ, формирует на основе их сравнения характерные паттерны и, в случае их последующего обнаружения, останавливает подозрительные процессы.  

    В Санкт-Петербурге и Москве у нас уже развернуто более 20 физических ферм, а также работает виртуальное облако Microsoft Azure, на котором в автоматическом режиме производится загрузка и анализ процессов в различных ОС и программах в чистом виде и при заражении программами-вымогателями. Алгоритм «учится», чем различаются эти процессы и какие показатели могут сигнализировать о заражении.

    Наши внутренние тесты показали, что даже если атака не была зафиксирована на основе поведенческой эвристики, ML Engine Acronis Active Protection 2.0 замечал ее и блокировал. В дополнение к этому, машинное обучение помогло нам найти и сформулировать новые правила для эвристической составляющей. К уже имеющимся правилам «робот» нашел еще 100. Самые внимательные и придирчивые могли уже задаться вопросом:  сколько места на жестком диске и в памяти требует такой алгоритм? Ответ вас немного удивит: система занимает менее 14 мб! Если говорить о загрузке памяти, то и тут беспокоиться не о чем: ML Engine работает в фоновом режиме и включается лишь раз в 30 секунд, не занимая много памяти.

    Acronis Active Protection 2.0 также обзавелся дашбордом, который показывает график всех процессов в системе, в том числе подозрительных. Подозрительными считаются процессы без цифровой подписи (или с недействительной подписью) или если есть подозрение, что в процесс был внедрен код с помощью DLL Injection. Если такие процессы начинают изменять файлы пользователя, то эти файлы сохраняются в кэш. Если модифицируется слишком много файлов, то срабатывают наши эвристики, система приостанавливает работу процесса и сообщает пользователю, что это, скорее всего, программа-вымогатель и предлагает добавить эти процессы в черный список или разрешить им продолжить работу. Также на этом дашборде отображается информация о готовящихся обновлениях, статистика по количеству заблокированных Active Protection процессах, число восстановленных после атаки файлов, и новости из блога Acronis.



    Среди других функций, которые мы обновили, можно отметить мастер создания загрузочных носителей. Теперь при создании загрузочного флэш-накопителя или CD/DVD-диска мы используем Windows Recovery Partition. Если раньше для этого нужно было скачивать специальный кит от Microsoft размером в зависимости от сборки от 4 до 6 Гб, то в Acronis True Image 2018 мы решили сделать все немного изящнее, не загружая лишнего. На современных Windows-системах есть Recovery-разделы, с которых мы можем брать собственно этот ADK (комплект средств для развертывания и оценки Windows) и на его основе мы делаем загрузочный носитель, не загружая специальных китов.



    Также у нас появилась возможность конвертировать резервные копии в виртуальные диски в формате VHD(x). Этот виртуальный диск можно использовать по-разному: например, в качестве носителя данных (зайти, побраузить папки и файлы, какие-то из них можно восстановить простым копированием, не прибегая к помощи True Image). Можно загрузить как виртуальную машину Hyper-V (начиная с Windows 7, она доступна в PRO версиях), а можно загрузиться нативно как с WRP.

    Полезным для наших пользователей станет ещё одно нововведение — система клонирования активных дисков Windows. Клонирование диска поможет, например, при переезде с HDD на SSD или же если есть подозрение, что диск может скоро прийти в негодность. Теперь чтобы скопировать системный диск не нужно перезагружаться – можно «на лету» подключить новое устройство к USB и клонировать на него.  

    Одним из основных нововведений в UI стал интерфейс анализа данных в бэкапе — это способ визуализировать процесс бэкапа, показать пользователю, что происходит в процессе и какие данные мы сохраняем.

    Acronis True Image 2018 показывает статистику по каждому бэкапу:  сразу под блоками, где изображено, что и куда бэкапим,  выводится диаграмма, показывающая  пропорционально сколько в архиве фотографий, сколько видео- и аудиофайлов, документов, сколько места занимают системные файлы (это файлы, находящиеся в системных папках Windows или macOS). Плюс, на вкладке активность показывается вся история операций с бэкапом вроде статусов или ошибок. Все это сделало процесс работы с бэкапами более наглядным и приятным для глаз.




    Мы добавили в продукт еще несколько полезных фич. Во-первых, это возможность отложить бэкап, пока ноутбук не подключен к сети. Как известно, резервное копирование — это довольно энергоемкий процесс (много обращений к диску и операций копирования, особенно если бэкап выполняется редко и за раз копируется и передается много данных), и если он начнется, когда заряда батареи уже совсем чуть-чуть, это может сыграть злую шутку. Чтобы этого не произошло, есть возможность запретить приложению начинать любой  бэкап пока устройство не подключено к электросети. Второй фичей стал автоматический бэкап мобильных устройств по Wi-Fi сети на NAS. Если телефон находится в той же сети, что и NAS и у них настроен бэкап, то телефон  сразу начинает бэкапиться самостоятельно без участия пользователя — даже не нужно подключаться к компьютеру.

    В Acronis True Image 2018 мы расширили поддержку бэкапа соцсетей. К Facebook, который стал поддерживаться с Acronis True Image 2017, мы добавили поддержку Instagram. В сентябре у пользователей по всему миру появится возможность бэкапить все свои фото, видео, информацию/статистику с профиля. К сожалению, из-за технических ограничений самого Instagram, пользователь, не может восстановить все данные, как это реализовано в Facebook, то есть  бэкапить больше 150 комментариев под одним постом, зато можно восстановить как отдельные так и все фото профиля одним кликом.

    Что можно сказать в итоге: разработка Acronis True Image 2018 стала для нас настоящим вызовом. Мы серьезно расширили его функциональность и добавили востребованные фишки, как в программной части, так и в части UI. У нас есть основание полагать, что True Image 2018 установит новый стандарт для систем умного резервного копирования для домашних пользователей, защиты данных всей семьи и малого бизнеса.

    Acronis

    92,00

    Компания

    Поделиться публикацией

    Похожие публикации

    Комментарии 39
      +4
      Шел 2017 год, Acronis выжирал 100% проца при архивации и разогревал MacBook до предела.
        0
        Не, это не предел. :) Спасибо за комментарий, мы знаем о проблеме и пока что выбрали скорость бэкапа за счет потребления ресурсов. К сожалению, если просто понизить приоритет бэкапящему процессу, то ему будет доставаться слишком мало процессорного времени, чтобы бэкап завершился за разумный срок.
        +1
        «ML Engine работает в фоновом режиме и включается лишь раз в 30 секунд, не занимая много памяти.»
        Я не совсем понял. Если появился шифровальщик о котором никто ничего не знает, в худшем случае его распознавание начнется только через 30 секунд и не известно когда закончится? т.е. в итоге довольно много (все) данных все же зашифруются? Зачем давать фору в 30 секунд с учетом что потребления ресурсов компьютера по современным меркам в принципе нет.
          0
          Раз в полминуты включается отправка телеметрия в Azure. Сам же сервис работает всё время и оперативно выявляет возникающие в системе аномалии.
          +1
          Программа для бекапа превращается в какого-то монстра. Я так понимаю выбора компонентов нет и если нужен только бекап по расписанию и ничего больше, то всё равно придётся устанавливать все эти излишества?
            0
            Компоненты Active Protection занимают около 10 Мб. Не устанавливать его и правда нельзя, но можно отключить после установки.
              0
              Даже если в настойках Acronis служба выключена, то по факту она запускается и занимает больше 200 мегабайт в памяти. Приходится после каждого обновления лезть в службы Windows и отключать там. И так после каждого обновления.
            +1
            Мне кажется — еще немного и это внедрят в более полном виде, например, в систему умного дома. Вообще штука очень полезная! У него же, тем более, есть центр:  и Вы уже сами можете регулировать настройки. Есть и умные розетки, и контроль чистоты воздуха, и темпертуры.
              +1
              Насколько я вижу — в наличие поведенческий анализатор и облачный антивирус на основе автоматического анализа метаданных программ — выявления новых программ, не имеющих пока хорошей репутации

              Не вижу исскуственного интеллекта

              Представьте себе вредоносца, который внедряется в MS Word, и, шифруя все документы целиком, оставляет заголовки нетронутыми. В этом случае поведенческая эвристика не относит это процесс к опасному, и зловред успевает «частично зашифровать» почти все файлы до того, как вы успеете что-то предпринять.


              Точно шифрование без изменения имени не может быть отслежено? Шифровальщик это массовое шифрование одновременно, на что и можно реагировать

              Для того, чтобы противостоять и таким атакам, в Acronis Active Protection 2.0 был внедрен ML(machine learning) Engine, который анализирует работу как зараженных и незараженных программ, формирует на основе их сравнения характерные паттерны и, в случае их последующего обнаружения, останавливает подозрительные процессы.


              А вот тут непонятно. Как вы можете грузить процессы для анализа, если анализируемые данные по сети не должны передаваться? Или вы передаете по сети анализируемые данные? Но тогда это вопросы конфиденциальности и скорости анализа

              Ответ вас немного удивит: система занимает менее 14 мб!

              Совершенно не удивит. Это же не антивирусные базы, а базы поведенческого анализатора. Они небольшие
                0
                Не вижу исскуственного интеллекта

                Мы используем машинное обучение, это методы искусственного интеллекта.

                Точно шифрование без изменения имени не может быть отслежено? Шифровальщик это массовое шифрование одновременно, на что и можно реагировать

                Безусловно на массовое шифрование можно и нужно реагировать. В статье приводится пример шифрования без изменения заголовка (был документ — остался документ), что в свою очередь затрудняет определение факта шифрования.
                Кроме этого, каждая разновидность шифровальщика по-разному преобразует файлы, чтобы обойти эвристики антивирусов: что-то засыпает посреди процесса, что-то шифрует медленно…

                А вот тут непонятно. Как вы можете грузить процессы для анализа, если анализируемые данные по сети не должны передаваться? Или вы передаете по сети анализируемые данные? Но тогда это вопросы конфиденциальности и скорости анализа

                Данные анализируются на конечной машине, а если пользователь дает согласие на отправку данных, то никакой персональной информации не передается — только состояние контекста выполнения программы.
                  0
                  чтобы обойти эвристики антивирусов

                  Эвристики антивирусных баз анализируют файлы.
                  И все же несмотря на разность подходов к маскировке — шифрование в первую очередь поток шифруемых файлов. Поведенческий анализатор по шифровальщикам по факту — анализ статистики операций по отношению к потоку шифруемых файлов

                  если пользователь дает согласие на отправку данных,

                  Тоесть, если пользователь дает согласие его файлы уходят по сети. Безопасности не касаемся, вопрос о задержке на время передачи — файлов море, да еще во время эпидемии. Ждем окончания передачи данных и их анализа или запускаем процесс и постфактум выносим по отношению к нему вердикт? А на случай разрыва связи?
                    0
                    Тоесть, если пользователь дает согласие его файлы уходят по сети

                    Хочу еще раз обратить внимание, что никакие файлы не пересылаются — нас интересует поведение процессов, а не результат их жизнедеятельности.
                      0
                      Виноват, не понял ваш ответ
                0
                Дорогие разработчики, программа хорошая, я сам пользуюсь версией 2016. Но вы бы хотя бы доделали существущие функции. Все что касается синхронизации и мобильных приложений просто не работало, когда я пробовал. Мне это было не нужно, я потыкал и забил.
                  0
                  Спасибо за отзыв!
                  Мы постоянно исправляем разнообразные ошибки, вполне возможно, что те, что мешали вам в 2016, уже починены.
                  Если проблемы все-таки возникнут, то будет здорово, если вы сообщите о них в поддержку или мне лично.
                    0
                    Вот собственно вам отзыв на новую, 2018 версию. Я делал резервыне копии в Windows, в версии 2016. Сейчас я поставил на MacBook вашу новую версию 2018, мне нужно восстановить позарез 2 (прописью: два) файла. И что мне отвечает программа? «Failed to open backup Folder Personal_inc_b1_s3_v1.tib. Backups created in Windows are not supported». Что? Резервную копию, сделаную под Windows нельзя открыть в macOS? Вы серьезно? У меня нет под рукой компьютера с Windows. Есть очень крутая программа, ваша программа. И она не может восстановить резеровную копию.

                    image

                    Что мне делать?
                      0
                      К сожалению, можно только посоветовать восстановить файлы с помощью версии для Windows. Можно это сделать, например, установив Windows в BOOTCAMP раздел.
                        0
                        Это, конечно, очень удивительное поведение программы — невозможность восстановить резервную копию данных в другой операционной системе. Передайте, пожалуйста, менеджеру проекта/продукта, что необходимо реализовать открытие резервной копии не только в той же системе, где она была создана. Иначе, это тоже самое, если бы проект из PyCharm зависил бы от операционной системы, и открывался бы только в той операционной системе, в которой создан.

                        Далее, хорошо, что я не успел купить версию 2018, иначе пришлось бы прыгать с возвратом денег. Еще к вам просьба, пожалуйста, напишите на странице продукта, что версии резервных копий не совместимы между операционными системами. Иначе, складывается впечатление, что Acronis True Image Home является кроссплатформенным решением, что вводит покупятеля в заблуждение.

                        Я бы купил новую версию для использованиен на MacBook Pro, но теперь жутко расстроен, т.к. придется, используя ноут жены, восстановить все резервные копии данных на внешний диск, а затем сделать их бэкап в Time Machine. Поэтому, еще раз попрошу, пожалуйста, реализайте кросплатформенность файлов с резервными копиями.

                  0
                  У меня как у недовольного пользователя вашей программы ряд вопросов.

                  — Программа для бекапа данных научилась бекапить свои же настройки, или все еще если она сдохнет (а такое бывает), то нужно вновь все настраивать?
                  — Уже существующие бекапы можно подцепить к вновь настроенным (это может потребоваться по причине первого). Подцепить по нормальному, чтобы они стали частью цепочек, а не просто архивчиками?
                  — Починили баг, с тем что даже при выключенных таймерах пробуждений, чудо софт будит компьютер?

                  P.S. Свежо еще в моей памяти приложение, оплатить платную поддержку, чтобы сообщить о баге (тот баг с пробуждением). :D
                    0
                    — Acronis True Image естественно бэкапит настройки бэкап планов вместе с системным диском. Сама по себе программа не бэкапит свои настройки.
                    — Можно продолжить уже существующие бэкапы. Нельзя сделать новый архив, а потом «в прошлое» подцепить старые цепочки.
                    — Честно говоря, я не могу навскидку ответить. Мы перепроверим этот сценарий, спасибо.
                      0
                      1. Ха-ха-ха. То есть если слетит программа нужно иметь копию системного диска, чтобы восстановить, настройки программы для бекапа данных? Вот это сильно. То есть рискнуть рабочей системой, ради программы для бекапов. Хотя в принцыпе отверткой тоже можно гвоздь забить если постараться.
                      2. Так у меня версия 2017 года. Я относительно недавно это пробовал сделать. И то ли я вас не так понял, то ли вы не про то говорите. Архив цепляется, а далее надо все настраивать. Считай по новой создавать бекап. Потому что, то что было подцеплено, это фактически просто файлики, в них как я понимаю никаких метаданных о том, что это вообще за бекап, нет.

                      А вообще как выше уже написали, вы бы хоть доработали то, что есть в программе, а то обновляться нет ни какого желания. С 2016 кстати перешел только потому что ваше творение приказало долго жить, и чтобы время не тратить на поиск решения (один то раз я уже сталкивался с проблемой о которой пытался сообщить), решил что обновление спасет.
                        0
                        То есть рискнуть рабочей системой, ради программы для бекапов.

                        Вовсе нет. Можно из бэкапа достать нужные файлы/папки, а не восстанавливать весь диск целиком.

                        Архив цепляется, а далее надо все настраивать. Считай по новой создавать бекап.

                        В версии 2018 мы добавили возможность экспорта/импорта настроек бэкапа. Если я все правильно понимаю, это должно помочь решить проблему, о которой вы говорите.
                          0
                          В версии 2018 мы добавили возможность экспорта/импорта настроек бэкапа. Если я все правильно понимаю, это должно помочь решить проблему, о которой вы говорите.


                          О, вот это радует.

                          Вовсе нет. Можно из бэкапа достать нужные файлы/папки, а не восстанавливать весь диск целиком.


                          А что это за нужные папки и файлы, где хранятся настройки, все настройки в том числе и настройки моих бекапов (верней прежде всего настройки бекапов).
                    0
                    ACD Systems, Nero AG, Acronis — три компании-производителя из юности, делавших крутые вещи. Первые 2 уже померли в погоне за наращиванием функционала.
                      0
                      Первые две компании тоже не померли, по прежнему выпускаются новые версии их софта.
                      0
                      По-моему, лучше регулярных бэкапов от рэнсом-софта сложно что-то придумать.
                        0
                        Что это за программа, можете подсказать, по «рэнсом-софт», что-то ни чего подходящего не нашел?
                          0
                          в данном контексте «рэнсом-софт» = семейство Ransomware программ.
                        0
                        Лучшие умы ведущих вендоров (Symantec, Kaspersky, BitDefender, TrendMicro) также работают над этой проблемой и не только используя HIPSы и ML-а там какого только нет и то пропускают, хоть и меньше всех, т.е. не нашли решение универсальное, даже прикрытие папок не абсолютный заслон — антивирус может быть эксплуатирован, а ещё есть MBR-цы. Такое чувство, что и ваша защита такая же — интеллектуальная (удобная, даст большинство ответов правильно), но не абсолютная. Скорее это для тех, кто ещё не понял важность периодического Cloud — бэкапа или изоляции данных на съёмных(!) носителях — только муторно их поддерживать в актуальном состоянии.

                        Очень важный вопрос — совместимость с антивирусами. Даже Trusteer Raport, утилита защиты от банковских троянов, создаёт антивирям проблемы. Нужно иметь в виду простую вещь — не уместить активные компоненты разных производителей в системе, нужно лишь одно случайное обновление и вся совместимость (даже если она гарантируется, как у Trusteer) рухнет. Отключать?
                          0
                          Acronis True Image как раз и предлагает комбинированное решение: бэкап в клауд + защиту от ransomware. Кроме того, этот бэкап совсем не сложно поддерживать: он выполняется по расписанию, достаточно настроить один раз.
                          Мы проверяли Active Protection на совместимость с популярными антивирусами (Kaspersky IS, ESET NOD32, McAfee, AVG, Avira и другими) и серьезных проблем не обнаружили — никто никому работать не мешает.
                          0

                          Товарищи из Acronis!
                          Я уже год смотрю на True Image. Выглядит супер, репутация — отличная.
                          Давно готов купить, но останавливает лишь одно: почему нет версии под Linux? Серверную не предлагайте, пожалуйста.
                          Думаю немало разработчиков, а они прекрасно осведомлены о необходимости резервного копирования, используют Linux не только на серверах, но и как рабочие станции.

                            0
                            Дело в том, что Acronis True Image это решение для домашнего пользователя.
                            Лично мне тоже несколько не хватает версии для линукса, но пока увы. :)
                            0
                            Acronis не удаляет наши данные, а продолжает их хранить.
                            Пользовался год версией Acronis True Image 2016, потом закончилась лицензия. Пришло сообщение, что все ваши данные будут удалены, если не продлите подписку.
                            Через 9 месяцев решил воспользоваться Acronis True Image 2018. Как же я был удивлен, когда при активации этого продукта в учетную запись подтянулся мой прошлый бэкап.
                              0
                              Включенный Active Protection (версия Acronis True Image самая последняя) выжирает кучу места в %SYSTEMDRIVE%\System Volume Information\FileProtector\FileStorage. При удалении (и вероятно изменении) любого файла, как я предполагаю, создается его shadow копия, причем игнорируя настройки Windows по максимальному размеру таких копий на диске.
                              У многих системный диск на ssd, и такое использование дискового пространства мало кому понравится. Выход один — отключить Active Protection.
                                0
                                Active Protection не использует VSS, поэтому действительно системные настройки игнорирует. Копии создаются только для файлов, которые открываются недоверенными процессами (те процессы, у которых нет действительной подписи или те процессы, в которые был внедрен код посредством DLL Injection). Однако сумма всех теневых копий Active Protection не должна превышать 10% свободного места на диске.
                                Спасибо за комментарий, это хорошая идея — мы рассмотрим возможность выноса настроек создания теневых копий файлов нашим сервисом в пользовательский интерфейс.
                                0
                                Тот же вопрос. Имеется небольшой парк домашних машин. 50% Windows/50% Linux.

                                Если была-бы версия для Linux — то приобрел-бы незамедлительно. Брать только для Windows — не выход т.к. это не решает проблему комплексно.

                                Для бекапов использую кроссплатформенное решение freefilesync. Да, это не комбайн но с задачей создания 1-й резервной копии на удаленном сервере справляется.
                                  0
                                  Про линукс я отвечал выше. Пока — увы! — планов таких нет.
                                  0
                                  Нет ли планов разрешить дедупликацию в домашних версиях? Уж очень сильно место экономится, особенно если хранить много архивов.
                                    0
                                    Пока таких планов нет.

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое