Comments 17
«Ransomware набирает силы» — это не так. Число случаев падает, массовые эпидемии становятся редки. По сравнению, например, с 16-17 годами спад налицо.
Привет. Говорить про 2018 год пока рано, потому что любые эпидемии развиваются по синусоиде – всплеск/спад. Активность киберпреступников разнится от месяца к месяцу. Например, в начале 2018 года может наблюдаться некий спад, потому что плохие парни отдыхают, а к осени будет большой рост.
За 2017 год все отмечают рост, например www.forbes.com/sites/tonybradley/2018/01/31/ransomware-and-cryptomining-spiked-in-2017-according-to-report/#32fb23d87bff
www.spamtitan.com/blog/ransomware-growth-in-2017
Можно найти еще кучу подобных примеров. Так что, скорее, все-таки растет, чем падает.
За 2017 год все отмечают рост, например www.forbes.com/sites/tonybradley/2018/01/31/ransomware-and-cryptomining-spiked-in-2017-according-to-report/#32fb23d87bff
www.spamtitan.com/blog/ransomware-growth-in-2017
Можно найти еще кучу подобных примеров. Так что, скорее, все-таки растет, чем падает.
ISTR 23 видели? Гляньте: «Ransomware Prices Down, Disruption Up». Кол-во вредоносных вариков увеличилось на 46%, хотя сумма выкупа уменьшилась.
Увеличение числа семплов совершенно не означает увеличения числа случаев заражения. И даже не означает увеличения числа попыток заражения. Рассылка в 20 семплов на 20 млн адресов и 1000 семплов на 10000 адресов — совсем разные цифры, а увеличение «вредоносных вариков» даже не на 46%. Считать надо по числу случаев заражения
мы заказали опрос среди корпоративных пользователей… 62,5% вообще никогда не слышали о программах вымогателях. А это значит, что никакой защиты от них не применяется в принципе.
Выводы спорные. Зачем сотруднику офиса знать о разновидностях троянов? Нет, оно конечно не вредно, но в общем это дело системных администраторов/специалистов по ИБ. А с учетом выноса задач на аутсорс и страхования и руководство может ничего не знать о троянах — они наняли подрядную организацию, пусть у них голова болит. И то, что никакой защиты нет, тоже спорно — достаточно часто иконки агента защиты прячут, чтобы пользователь не лез в настройки, не пытался все отключить
Или опрашивали не пользователей, а администраторов?
> Проводите резервное копирование ВСЕХ важных данных на диск в облако
И с высокой долей вероятности данные в облаке тоже окажутся зашифрованы.
И с высокой долей вероятности данные в облаке тоже окажутся зашифрованы.
Петя шифровал даже onedrive, который был подключен
Знаете, а я ведь говорил, что ваша ACtive Protection спорная штука, которая может начать мешать антивирусу. Так и оказалось, Norton Security несовместим с вашей штуковиной. Пришлось службу вырубить (отключение с GUI Acronis-а не помогает). Вы лучше реализуйте server-side защиту от резервного копирования испорченных файлов, чтобы я не волновался о том, что в облако зальются испорченные/зашифрованные файлы или не дай бог ими заменятся здоровые копии. На клиенте только 1 царь — встроенный или сторонний антивирус.
Давайте разберемся как именно не совестим. Мы тестировали внутри компании, все работает. Скорее всего, имеет место некое ложное срабатывание со стороны Symantec, наш продукт не делает ничего такого, чтобы антивирусы были с ним не совместимы.
Что касается сервер-сайд защиты: Windows-клиент защищен, откат занимает секунды, если не меньше. Чтобы зашифрованные копии залились в облако, синхронизация должна сработать в те доли секунды, пока несколько файлов зашифрованы (до срабатывания эвристик). Шанс, что такое произойдет, практически нулевой.
Что касается сервер-сайд защиты: Windows-клиент защищен, откат занимает секунды, если не меньше. Чтобы зашифрованные копии залились в облако, синхронизация должна сработать в те доли секунды, пока несколько файлов зашифрованы (до срабатывания эвристик). Шанс, что такое произойдет, практически нулевой.
Нет срабатываний, можно выключить Norton (удалять и выгружать не пробовал) и проблема остаётся. Проблемы регулярно происходят у юзеров Symantec с IBM Rapport (он тоже якобы совместим, на Западе очень популярная программа, её банки советуют ставить), который транзакции защищает, дык постоянно возникают проблемы, вроде затихают проблемы, когда вендоры решат проблему совместно, а потом снова возникают и это не удивительно, ведь антивирус с течением времени модернизируется, не мала вероятность, что снова возникнет проблема, а страдают ведь юзеры и зачем им это? У Касперского на моей памяти со сканером MBAM такая же проблема, как у меня — виснет проводник.
Я к тому, что любое второе активное защитное ПО порождает проблемы если не в 100% случаев, не постоянно, то стабильно у кого-то из ваших юзеров периодически такое бывает и лучше не делать такую защиту. Мне что себе, что родителям пришлось отключить вашу защиту.
Т.е. вы опираетесь на защиту клиента, которую ряду клиентов выключать приходится, ну круто.
Защита — это в реализации всегда что-то крайне оригинальное и изощрённое, особенно если речь о поведенческих, самозащитных и анти-эксплойт технологиях.
Я к тому, что любое второе активное защитное ПО порождает проблемы если не в 100% случаев, не постоянно, то стабильно у кого-то из ваших юзеров периодически такое бывает и лучше не делать такую защиту. Мне что себе, что родителям пришлось отключить вашу защиту.
Т.е. вы опираетесь на защиту клиента, которую ряду клиентов выключать приходится, ну круто.
Защита — это в реализации всегда что-то крайне оригинальное и изощрённое, особенно если речь о поведенческих, самозащитных и анти-эксплойт технологиях.
Решил включить эту функцию снова у себя. Пока нет проблем, она сразу и не возникала, но пока нормально всё. Однако уже увидел какую-то явно ложную блокировку вашей технологией: «процессу rundll32.exe запрещён доступ к реестру».
А ещё я удалил свою резервную копию без ввода пароля от неё, просто нажал Удалить и всё. Из облака тоже данные удалились. Т.е. на изменение параметров резервной копии пароль нужен, а на удаление не нужен? Злоумышленник зайдёт на комп с RATа и спокойно почистит копии, если не будет UACа с паролем.
Доброго здоровья! Подскажите, а возможно ли сделать «мобильное приложение для восстановления компа»?
1) Допустим, есть комп, убитый до состояния «загрузочный сектор не найден», но диск должен быть живой.
2) Есть телефон с USB-oт-the-go, т. е. позволяющий напрямую подключать к себе флэшки.
По идее, телефон же может скачать образ диска-реаниматора и сделать загрузочную флэшку, позволяющую запустить комп и, возможно, исправить или восстановить разделы из бэкапа?
Если да — считайте это пожеланием к функционалу.
Удачи.
1) Допустим, есть комп, убитый до состояния «загрузочный сектор не найден», но диск должен быть живой.
2) Есть телефон с USB-oт-the-go, т. е. позволяющий напрямую подключать к себе флэшки.
По идее, телефон же может скачать образ диска-реаниматора и сделать загрузочную флэшку, позволяющую запустить комп и, возможно, исправить или восстановить разделы из бэкапа?
Если да — считайте это пожеланием к функционалу.
Удачи.
Отчего-то в опросе «делаю резервные копии» и "… в облако" противопоставлены. Интересно, почему?
Делаю резервные копии на разные носители, «в облако» (только в шифрованном виде) и нет, онлайн и оффлайн. Если говорить об инструментах, то BackupPC и Duplicati пока себя не опорочили.
Делаю резервные копии на разные носители, «в облако» (только в шифрованном виде) и нет, онлайн и оффлайн. Если говорить об инструментах, то BackupPC и Duplicati пока себя не опорочили.
Sign up to leave a comment.
Ransomware набирает силы