Comments 34
Вот прямо 100% гарантию даете что любой энкодер ничего не сделает?
100% гарантии никогда, ничего, нигде в мире не существует. Полного абсолюта нет...
Тогда о какой "гарантированно… защитить" идет речь?
В общеприменительной практике использование слов "гарантированно, гарантированный" и т.п. подразумевает подавляющее большинство случаев. Когда употребляется слово "гарантированно", то здравомыслящие люди понимают, что речь идет о преимущественном (максимальном) большинстве.
Кроме того, заметьте, про 100% Вы сами написали и сами же спросили.
Кроме того, заметьте, про 100% Вы сами написали и сами же спросили.
Ну вот например, TCP пишет о гарантированной доставке потока данных. Тогда как если смотреть широко, возможна ситуация, когда TCP не спасает. Я вот на практике встречал настолько хреновый интернет, имеющий настолько большой packet loss, что TCP сессии рвались посередине передачи данных.
Специально зашел, чтобы увидеть подобный коммент)))
Правильно настроенный SRP, снятые права администратора, актуальные апдейты Windows, Office, AdobeReader, Flash, Java, браузеры обеспечат 99% защиту от шифровальщиков. И все это без сторонних платных решений.
В целом согласен, что такие действия разумны и необходимы.
Действительно, во многих случаях это отсечет многие угрозы. Плюс не забудьте еще про работу с персоналом об ИБ.
И все же, таких действий недостаточно.
Вопрос не только в защите от шифровальщиков, но и в защите от неизвестных и скрытых угроз, APT и т.д.
Плюс экспертная информация обо всех ИТ-процессах для мониторинга того, что и кто к каким данным обращается и что с ними делают (для противодействия шпионажу, краже конфиденциальных данных и пр.).
Действительно, во многих случаях это отсечет многие угрозы. Плюс не забудьте еще про работу с персоналом об ИБ.
И все же, таких действий недостаточно.
Вопрос не только в защите от шифровальщиков, но и в защите от неизвестных и скрытых угроз, APT и т.д.
Плюс экспертная информация обо всех ИТ-процессах для мониторинга того, что и кто к каким данным обращается и что с ними делают (для противодействия шпионажу, краже конфиденциальных данных и пр.).
Всё это на словах, на деле всё по другому
Разверните, пожалуйста, свой комментарий, непонятно, что на самом деле у вас по другому. У меня в организации пользователь не может запустить .js из архива, потому как политикой запрещено, не может открыть офисный документ с макросом, потому как политикой запрещено, не может просто запустить исполняемый файл из недоверенного источника, потому как политикой запрещено. Итд, итп… За 3 года ни одного заражения, хотя в почте куча писем от "Пром снаб" с актами сверки и сообщений "Сбербанка" о просроченной задолжности. Так что на деле всё по другому?
Бэкапы опять никто не вспоминает, а зря :-(
60 процентов обращений в саппорт — это шифровальщики. Какая гарантия?
Очень жаль, что у отечественного производителя, решения которого входят в реестр российского ПО такой большой процент проблем с шифровальщиком.
В техподдержке Panda Security по шифровальщикам обращений максимум 1-1,5%. А если пользователи выполняют рекомендации по настройкам решений Panda изначально, то проблем вообще не возникает годами.
В техподдержке Panda Security по шифровальщикам обращений максимум 1-1,5%. А если пользователи выполняют рекомендации по настройкам решений Panda изначально, то проблем вообще не возникает годами.
- Я нигде кажется не сказал, что все эти обращения — от наших пользователей. К нам очень часто обращаются те, кто защищается продуктами от иных производителей. Мы очень часто расшифровываем там, где иные вендоры не берутся. Я знаю примеры, когда наши партнеры на юге Европы продвигают наш продукт, как именно обеспечивающий защиту от шифровальщиков
В рамках выпуска Dr.Web Katana (продукт предназначенный именно для защиты от шифровальщиков поверх продуктов иных вендоров) у нас был организован стенд, на котором проверялись шифровальщики, полученные техподдержкой. Сюрприз однако — процент необнаружения был порядка пары процентов (точно не помню, но могу уточнить) - Сами по себе проценты обращений в техподдержку ни о чем не говорят. Процентное соотношение может говорить и о востребованности отдельных решений и о качестве продукта
Теперь о гарантиях. Как известно грамотно сделанные вредоносные программы тестируются на необнаружение антивирусами. И не на Вирустотале, а на штатно развернутой защите. И выпускаются, если антивирус целевой группы не обнаруживает тот же троян. Не верю в непробитие защит. По моей статистике порядка 30 процентов админов сталкивается с шифровальщиками. Те же белые списки программ обходятся подменой библиотек (http://seclists.org/bugtraq/2016/Jan/89)
Посему:
- Наиболее просто получить новый шифровальщик перепаковав или перешифровав его. Как вы поступаете, если получили перешифрованный образец? Добавляете его сигнатурой в базу? Для справки — Dr.Web может находить в подобном случае ранее известные образцы по характерным участкам кода — тоесть мы можем находить вредоносное ПО, даже если оно было перешифровано, за счет чего для нас сложнее сделать пробивающий нас троян.
- Сколько записей для шифровальщиков вы добавляете в базу ежедневно? Примерно. У нас (даже при учете вышеописанной технологии) добавляется порядка 10-20 записей. Вчера было скажем добавлено 12 штук (http://updates.drweb.com)
- Качество антивируса показывают только тесты на лечение активных заражений и самозащиту. Последние мне известные http://www.anti-malware.ru/malware_treatment_test_2015 и http://www.anti-malware.ru/antivirus_self_protection_test_x64_2011. Старые тесты, согласен. Поэтому поставим вопрос так — что было сделано для исправления ситуации с лечением активных заражений? Какие технологии внедрены? У нас ShellGuard (контроль процесса изнутри — нет ни у кого на рынке) и ГиперВизхор (перехват на уровне драйверов)
- Не знаю, есть ли у вас статистика по России, но скажем сейчас в Испании "популярны": Trojan.Encoder.761, Trojan.Encoder.3564 ака TeslaCrypt 3.0, Trojan.Encoder.1694 ака TeslaCrypt 2.0, CryptoWall, Trojan.Encoder.686 ака CTB-Locker, encoder.1214. Если не секрет — процент расшифровки данных представителей по вашей статистике?
И последнее. Я совершенно не утверждаю, что проблем с вирусами нет у нашего продукта. Есть и будут наверно всегда. Но мы честно говорим о невозможности гарантированной защиты (особенно при установке по умолчанию) и показываем как довести защиту до максимально возможной. Нас кстати бывает просят прописать в договор гарантии на защиту от вирусов в выплатой штрафов (давно не видел) или время занесения записи, гарантированно лечащую угрозу, по присланному образцу (недавно видел запрос). Мы объясняем, что это нереально. А вы?
До двух процентов — это потому что вы расшифровкой и не занимаетесь. Кто занимается — к тем и идут.
Отвечу сразу Вам и Вашему коллеге (выше).
- По поводу обращений с шифровальщиками. Как правило, при возникновении подобной проблемы пользователи в первую очередь обращаются в ту компанию, чей антивирус у них установлен (для примера, если у вас отключается доступ в интернет, разумнее обратиться к своему провайдеру, а не в стороннюю организацию). Мы фиксируем ВСЕ обращения в техподдержку. Еще раз повторю, от всех обращений в техподдержку- вопросы по шифровальщикам занимают 1-1,5%.
- По поводу расшифровки зашифрованных сообщений. За редким исключением (а чем дальше, тем, пожалуй, таких исключений будет меньше, потому что шифровальщики становятся все искуснее) расшифровать зашифрованные файлы без ключа невозможно. Поэтому интересно, как вы расшифровываете и почему такая популяризация данных услуг от производителя AV?
Может быть, я что-то пропустил, но вроде бы не было слышно о появлении каких-то революционных технологий по расшифровке БЕЗ КЛЮЧА. И даже если есть ключ для какого-то конкретного ПК, то в наши дни маловероятно, что он подойдет для расшифровки данных на другом ПК, где постарался точно такой же шифровальщик. - Мы стараемся реализовать технологии, которые позволят предотвратить шифрование, потому что если шифрование произойдет, то шансов уже ничтожно мало. Либо стоимость расшифровки может превысить стоимость зашифрованной информации.
- Panda Adaptive Defense позволяет отслеживать все ИТ-процессы, выставлять между ними взаимосвязи и закономерности, анализировать каждый исполняемый файл или запущенный процесс и в результате в режиме LOCK блокировать все, что не классифицировано на текущий момент как goodware, включая и новые процессы и файлы, которые еще не были классифицированы в принципе. Это тонны информации. Именно поэтому мы уже несколько лет работаем на Больших данных с искусственным интеллектом, включая машинное обучение.
Держать все это локально нереально, поэтому в локальных сигнатурах только самое-самое, плюс локальные проактивные технологии также для «подхвата». Все основное — это в облаке.
Открою вам страшную тайну: ключ можно и подобрать, что мой кодес и делает.
За сколько времени подбираете 256-разрядный ключ?
Как повезет. Вчера вот для ID12345678.Vegclass@aol.com.xtbl и подобных сделал перебор за пару секунд. 256 БИТ, правда, а не разрядов.
А Вы перебрали за 2 секунды уже из готового набора ключей?
Нет, никаких списков ключей нет, все генерится в процессе. Для вас "невозможно", а мы уже года этак 3-4 как расшифровываем. Может и вы года через два начнете, если займетесь.
Вы знаете алгоритм генерации этих случайных ключей для данного шифровальщика?
Допустим да, и что? :-)
И так Вы знаете алгоритм по каждому шифровальщику в России?
Я знаю слабые места. Мы прекрасно работаем с *.encrypted, с теслой первой и второй, которые в РФ практически не встречались, обращаются со всего мира.
Sign up to leave a comment.
Регистрация на вебинар «Как гарантированно и просто защитить предприятие от шифровальщиков и скрытых угроз»