Получил ответ из лаборатории. Информация по распространению, указанная в статье подтвердилась:
1. Данный шифровальщик распространяется не через почту, а через наборы эксплойтов, которые поражают браузеры (попадают через зараженные сайты).
2. Уникальные, необычные особенности данного шифровальщика:
• Особенности в отображаемом сообщении: инструкция о том, как связаться с кибер-преступником, что необычно для шифровальщиков, потому что большинство из них хостятся в сети TOR;
• Нет текстовых строковых переменных (string) — они удалены для того, чтобы затруднить анализ;
• Файлы шифруются полностью (на 100%);
• Есть уникальные особенности внедрения шифрования в этой угрозе — достаточно оригинальные решения, которые ранее не встречались ни разу. Безусловно, авторы этого шифровальщика обладают очень высоким уровнем знаний в данной области.
Понятно, что в статье и дополнительных ответах не раскрываются все детали и особенности, чтобы другим не повадно было создавать аналогичные произведения.
Спасибо за актуальный вопрос. По распространению и заражению дополнительно задал вопрос в лабораторию (по описанию есть только предположения, что заражает не так, как обычные шифровальщики).
Как получу ответ, напишу.
По поводу обращений с шифровальщиками. Как правило, при возникновении подобной проблемы пользователи в первую очередь обращаются в ту компанию, чей антивирус у них установлен (для примера, если у вас отключается доступ в интернет, разумнее обратиться к своему провайдеру, а не в стороннюю организацию). Мы фиксируем ВСЕ обращения в техподдержку. Еще раз повторю, от всех обращений в техподдержку- вопросы по шифровальщикам занимают 1-1,5%.
По поводу расшифровки зашифрованных сообщений. За редким исключением (а чем дальше, тем, пожалуй, таких исключений будет меньше, потому что шифровальщики становятся все искуснее) расшифровать зашифрованные файлы без ключа невозможно. Поэтому интересно, как вы расшифровываете и почему такая популяризация данных услуг от производителя AV?
Может быть, я что-то пропустил, но вроде бы не было слышно о появлении каких-то революционных технологий по расшифровке БЕЗ КЛЮЧА. И даже если есть ключ для какого-то конкретного ПК, то в наши дни маловероятно, что он подойдет для расшифровки данных на другом ПК, где постарался точно такой же шифровальщик.
Мы стараемся реализовать технологии, которые позволят предотвратить шифрование, потому что если шифрование произойдет, то шансов уже ничтожно мало. Либо стоимость расшифровки может превысить стоимость зашифрованной информации.
Panda Adaptive Defense позволяет отслеживать все ИТ-процессы, выставлять между ними взаимосвязи и закономерности, анализировать каждый исполняемый файл или запущенный процесс и в результате в режиме LOCK блокировать все, что не классифицировано на текущий момент как goodware, включая и новые процессы и файлы, которые еще не были классифицированы в принципе. Это тонны информации. Именно поэтому мы уже несколько лет работаем на Больших данных с искусственным интеллектом, включая машинное обучение.
Держать все это локально нереально, поэтому в локальных сигнатурах только самое-самое, плюс локальные проактивные технологии также для «подхвата». Все основное — это в облаке.
Очень жаль, что у отечественного производителя, решения которого входят в реестр российского ПО такой большой процент проблем с шифровальщиком.
В техподдержке Panda Security по шифровальщикам обращений максимум 1-1,5%. А если пользователи выполняют рекомендации по настройкам решений Panda изначально, то проблем вообще не возникает годами.
В целом согласен, что такие действия разумны и необходимы.
Действительно, во многих случаях это отсечет многие угрозы. Плюс не забудьте еще про работу с персоналом об ИБ.
И все же, таких действий недостаточно.
Вопрос не только в защите от шифровальщиков, но и в защите от неизвестных и скрытых угроз, APT и т.д.
Плюс экспертная информация обо всех ИТ-процессах для мониторинга того, что и кто к каким данным обращается и что с ними делают (для противодействия шпионажу, краже конфиденциальных данных и пр.).
В общеприменительной практике использование слов "гарантированно, гарантированный" и т.п. подразумевает подавляющее большинство случаев. Когда употребляется слово "гарантированно", то здравомыслящие люди понимают, что речь идет о преимущественном (максимальном) большинстве.
Кроме того, заметьте, про 100% Вы сами написали и сами же спросили.
1. Данный шифровальщик распространяется не через почту, а через наборы эксплойтов, которые поражают браузеры (попадают через зараженные сайты).
2. Уникальные, необычные особенности данного шифровальщика:
• Особенности в отображаемом сообщении: инструкция о том, как связаться с кибер-преступником, что необычно для шифровальщиков, потому что большинство из них хостятся в сети TOR;
• Нет текстовых строковых переменных (string) — они удалены для того, чтобы затруднить анализ;
• Файлы шифруются полностью (на 100%);
• Есть уникальные особенности внедрения шифрования в этой угрозе — достаточно оригинальные решения, которые ранее не встречались ни разу. Безусловно, авторы этого шифровальщика обладают очень высоким уровнем знаний в данной области.
Понятно, что в статье и дополнительных ответах не раскрываются все детали и особенности, чтобы другим не повадно было создавать аналогичные произведения.
Как получу ответ, напишу.
Может быть, я что-то пропустил, но вроде бы не было слышно о появлении каких-то революционных технологий по расшифровке БЕЗ КЛЮЧА. И даже если есть ключ для какого-то конкретного ПК, то в наши дни маловероятно, что он подойдет для расшифровки данных на другом ПК, где постарался точно такой же шифровальщик.
Держать все это локально нереально, поэтому в локальных сигнатурах только самое-самое, плюс локальные проактивные технологии также для «подхвата». Все основное — это в облаке.
В техподдержке Panda Security по шифровальщикам обращений максимум 1-1,5%. А если пользователи выполняют рекомендации по настройкам решений Panda изначально, то проблем вообще не возникает годами.
Согласен, так тоже можно сказать.
Действительно, во многих случаях это отсечет многие угрозы. Плюс не забудьте еще про работу с персоналом об ИБ.
И все же, таких действий недостаточно.
Вопрос не только в защите от шифровальщиков, но и в защите от неизвестных и скрытых угроз, APT и т.д.
Плюс экспертная информация обо всех ИТ-процессах для мониторинга того, что и кто к каким данным обращается и что с ними делают (для противодействия шпионажу, краже конфиденциальных данных и пр.).
Кроме того, заметьте, про 100% Вы сами написали и сами же спросили.