Комментарии 12
Хорошее правило — публиковать хэши файлов, на основании которых вы делали анализ. Я вот ковырял свежего Ryuk пару недель назад и… такое ощущение что мы ковыряли разное и я даже не могу проверить кто из нас не прав :-) Но судя по тому, что вы не упоминаете Wake-On-Lan — у вас анализ довольно старой версии ;-)
Вижу в списке команд acronis и интересно, если бекап происходит на удаленный ftp сервер, удаляется ли содержимое бекапов и оттуда тоже.теперь понятно, что значит фраза — делать бекап бекапов
Учитывая этот факт, для надёжной защиты следует использовать максимально эффективные меры, наиболее важными среди которых мы считаем следующие
Самое главное пожелание компаниям — повысьте ЗП сисадминам и наймите их сколько нужно, а не по остаточному принципу бюджетирования.
Самое главное пожелание компаниям — повысьте ЗП сисадминам и наймите их сколько нужно, а не по остаточному принципу бюджетирования.
эксплуатировали уязвимости EternalBlue и Zerologon
То есть вы хотите сказать, что за 3 года, которые прошли с момента эпидемии Petya и его производных, использовать уязвимость Eternalblue, от которой давно выпущены заплатки, все еще эффективно? Ну тогда пожалуй они это заслужили
А почему популярные антивирусы не могут бороться с самим фактом шифрования (если уж от проникновения они не смогли уберечь)?
Если вы придумаете способ отличать шифрование файла от, например, его архивирования — вы сможете продать этот секрет антивирусным компаниям. Наверное даже дорого…
Вообще на то существуют DLP-системы, которые при не здоровой активности блокировать процессы-источники.
И как отличать здоровое архивирование от нездорового они тоже, естественно, знают?
Ну вообще да, когда с одного источника идёт веерное «архивирование» всех доступных локальных и сетевых ресурсов, то оно явно «нездоровое».
И в какой момент эвристика должна решить что это "нездоровое" архивирование? Какой порог разделения "здоровых" и "нездоровых" архиваций?
И, наверное, даже интересно не сколько "когда", а "как".
Зависит от степени параноидальности конкретной СБ.
DLP и/или UAM мониторит всю пользовательскую активность, как только что-то выбивается из определённого паттерна — идёт реакция.
Не, я не увтерждаю конечно, что это спасёт от всего, но если всё грамотно обустроено, то подобные случаи должно отсекать ещё на подлёте.
И, наверное, даже интересно не сколько «когда», а «как».
DLP и/или UAM мониторит всю пользовательскую активность, как только что-то выбивается из определённого паттерна — идёт реакция.
Не, я не увтерждаю конечно, что это спасёт от всего, но если всё грамотно обустроено, то подобные случаи должно отсекать ещё на подлёте.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ryuk: как устроен топовый вымогатель