Почему теневые копии не спасают от большинства шифровальщиков



    Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy, которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, — это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.

    Существует ряд технологий, которые могут быть применены для остановки атак шифровальщиков: некоторые из них почти бесполезные, такие как сигнатуры или эвристика (это первое, что проверяют авторы вредоносных программ перед их «релизом»), другие иногда могут быть более эффективными, но даже сочетание всех этих техник не гарантирует, что Вы будете защищены от всех подобных атак.

    Более 2 лет назад в антивирусной лаборатории PandaLabs применили простой, но достаточно эффективный подход: если какой-то процесс пытается удалить теневые копии, то, скорее всего (но не всегда, кстати), мы имеем дело с вредоносной программой, и вероятнее всего – с шифровальщиком. В наши дни большинство семейств шифровальщиков удаляют теневые копии, т.к. если этого не делать, то люди не будут платить выкуп, раз они могут бесплатно восстановить свои файлы. Рассмотрим, сколько инфекций было остановлено в нашей лаборатории благодаря такому подходу. Логично предположить, что это количество должно расти в геометрической прогрессии, т.к. количество атак шифровальщиков, использующих этот прием, также стремительно растет. Вот, например, количество атак, которые мы заблокировали за последние 12 месяцев с помощью нашего подхода:



    Но на диаграмме мы видим прямо противоположное тому, что ожидали. Как такое возможно? На самом деле, такому «феномену» есть очень простое объяснение: мы используем данный подход как «последнее средство», когда никакие другие техники безопасности не смогли обнаружить ничего подозрительного, а потому срабатывает данное правило, которое и блокирует атаку шифровальщика. Данный подход мы используем еще и для внутренних целей, в результате чего мы можем проанализировать более детально те атаки, что были заблокированы на «последнем рубеже», и потом улучшить все предыдущие уровни безопасности. Мы также используем данный подход для оценки того, насколько хорошо или плохо мы останавливаем шифровальщиков: другими словами, чем ниже значения, тем лучше работают наши основные технологии. Так что, как Вы можете видеть, эффективность нашей работы повышается.

    Автор статьи: Луис Корронс

    Оригинал статьи: Tales from Ransomwhere: Shadow Copies
    Panda Security в России и СНГ
    69,00
    Облачные решения безопасности, антивирусы
    Поделиться публикацией

    Комментарии 33

      +4
      А какой суммой Вы готовы гарантировать защиту данных Вашим антивирусом?
        –3
        В соответствии с Лицензионным соглашением с конечным пользователем мы предлагаем ограниченную гарантию, которая не превышает стоимости лицензий продукта.
        Это общая практика.
          +4
          Купил Фернандо за 100 золотых у Адриана осла. Тот должен был привести его завтра.
          На следущий день приходит Адриан к Фернандо, но без осла. Фернандо спрашивает Адриана:
          — Где же мой осел?
          — Прости друг, но осел умер.
          — Тогда верни мне мои деньги! — возразил Фернандо.
          — К сожалению, я их уже потратил.
          — Тогда привези мне мертвого осла. — приказал Фернандо.
          — Зачем он тебе?
          — Я разыграю его в лотерею.
          — Как же так? Мертвого осла? — спросил Адриан.
          — Да, я просто никому не скажу, что он мертвый.
          Прошел месяц-два. Встретились Фернандо и Адриан. Спрашивает Адриан:
          — Получилось разыграть осла?
          — Да, я вернул себе свои деньги. Продал 500 лотерейных билетов за 2 золотых.
          — И что, никто не догадался?
          — Только тот, что выиграл.
          — И что он сделал? — удивленно спросил Адриан.
          — Ничего, я просто вернул ему два золотых.
            0
            Расскажите еще, пожалуйста, какие способы гарантий от других производителей антивирусов Вы знаете.
              0
              Надо полагаться в первую очередь на себя и антивирус Brain/Head. Всё остальное вторично.
              Копия на флешку, и копия в облако это так, цветочки вариантов, но самые надежные
            0
            То есть, вы можете продать решето, вернуть стоимость пострадавшим и все равно остаться в плюсе? Ведь доля пострадавших — маленькая.
          +1
          >Но на диаграмме мы видим прямо противоположное тому, что ожидали.
          а ось x в чем измеряется, сейчас мы просто видим временную шкалу с вертикальными черточками
            0
            Это гистограмма.
            Ось Х- время.
            Ось Y- количество остановленных инфекций.
              0
              Ув.Alex, вы похоже забыли сказать, всегда ваш К.О
              Это я понимаю, вопрос в каких попугая это(как пример каждый см это десятки, сотни, тысячи), что это?
                0
                Эта гистограмма показывает динамику количества обнаружений.
                  0
                  Я понимаю что она показывает, я хочу понять масштабы
                  в чем измеряется динамика, в десятках, сотнях, тысячах( услышьте меня пожалуйста)
                  количество(по этой картинке сложно понять)
                    0
                    Я в первом сообщении ошибся
                    хотел написать Y, но опечатался
                    меня интересует ось Y в каких числах(10,100,1000,10000)
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Тут еще есть два нюанса. 1. Не все трояны удаляют теневые копии. 2. Для выполнения команды удаления копии нужно обладать правами админа.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Естественно. А поскольку шифровальщики как правило попадают через письма, то проблема шифровальщиков в первую очередь проблема слишком больших прав на установку ПО и настройку системы.
                      Проблема в том, что когда на конференциях спрашиваешь о том, кто пострадал от шифровальщиков — процентов до 30 компаний-участников конференции в зависимости от региона.
                        0
                        А как ограниченная учетная запись, которая ПО не может ставить, спасет от шифровальщика? Если шифровальщик охотится за пользовательскими данными, а не файлами системы — ему права админа нафиг не сдались. Да и устанавливаться ему тоже никуда не нужно — достаточно один раз запуститься, сделать свое дело и уйти со сцены.
                          0
                          Теневые копии не сможет удалить. А из них пользовательские данные восстанавливаются в 2 клика.
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              Да, такой подход тоже полезен.

                              Но тут есть свои нюансы:
                              1. Зачастую такие жесткие ограничения могут негативно сказаться на работе сотрудников, т.к. в каких-то ситуациях надо будет дергать администратора, чтобы он сделал разрешение на запуск чего-то, что действительно необходимо для работы. В большой компании (или в мелкой, где сисадмин приходящий) не всегда можно сделать это оперативно. Тем более, что бывают случаи, когда легитимные программы в какой-то момент становятся вредоносными…

                              2. А как быть с теми случаями, когда зловред, используя уязвимость в легитимной программе, запускает в скрытом режиме (т.е. пользователь не знает об этом), например, установленный легитимный архиватор и архивирует файлы с паролем? Примерно такая же ситуация может быть и при посещении вполне надежного сайта, на котором показывается вредоносная реклама — в этом случае без ведома пользователя используется уязвимость в браузере… а дальше дело техники.

                              Поэтому PAD360 как раз и пытается учитывать все эти случаи, чтобы автоматизировать п.1 и отслеживать п.2
                              • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              Любое средство защиты — не панацея, а лишь метод снижения риска. Сорри, что не расписал, что под правами я имею в виду не только ограничение доступа к данным, но и запрет исполнения файлов из аттачей, запрет на определенные типы файлов в аттачах, запрет на исполнение из директорий временных файлов, право на запуск исключительно белого списка программ и тд. Естественно и это можно обойти, но эти меры существенно снизят риск.
                              А в реальности подавляющая часть пользователей и компаний полагаются в всезнание антивируса — которого нет и не будет
                        0
                        Обычно в таком случае насыпают побольше статистики.
                        0
                        О чем статья?
                          0
                          Хм, а если сначала шифровать файлы, а потом удалять теневые копии?
                            0
                            А если делать теневую копию теневой копии? Да, место на диске займет больше, но если первую копию удалят(например вирус), то можно восстановить из второй копии, которая изначально не будет доступна пользователю(в том числе и вирусу).
                              0
                              Лучше тогда сразу использовать πfs
                              0
                              Что мешает хранить теневые копии удаленно? К примеру на FreeNAS CIFS шаре и делать снимки состояния ZFS.
                              Просто как пример, первое, что в голову пришло.
                              Поднять такой стордж бэкапов можно поднять на любом старом железе и уложиться тысяч в 10 максимум.
                                0
                                >первое, что они делают при заражении Вашего компьютера, — это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.
                                Не всегда. Былу меня недавно случай, шифровальщик сначала зашифровал все файлы (расширение у файлов стало da_vinci_code), а потом запросил админские привелегии на доступ к теневым копиям. Именно так, я и пользователь узнали, что приплыли… Антивирус молчал.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Хм… А скажите мне господа и товарищи: я один не понимаю, почему на теневые копии такая надежда?
                                    1. шифровальшик вполне себе легитимен со стороны антивируса — он просто открывает ПОЛЬЗОВАТЕЛЬСКИЕ файлы на запись и переписывает их.
                                    2. если вместо удаления теневых копий он (вирус) будет делать активацию их обновления, сразу после шифрования (то есть, сами теневые копии тоже будут зашифрованы) — Вам будет легче?
                                    Единственный вариант (из самых простых) найденный мной:
                                    в каждой папке пользователя держать контрольный текстовый файл, в котором есть просто одна цифра (например, 5). В случае, если папка уже зашифрована — прочитать из файла мы не сможем — архивацию этой папки не разрешаем.
                                      0
                                      У нас надежды на теневые копии нет.
                                      Мы просто констатируем, что если раньше еще они были полезны в этом плане, то теперь надежды то на них никакой нет, ибо шифровальщики их уничтожают.

                                      Предложенный Вами вариант вполне прост и оригинален, и наверняка он в большинстве случаев эффективен.
                                      Но в том случае, если шифровальщик шифрует только офисные файлы, а при этом текстовые файлы не трогает, то метод не сработает.
                                      Хотя таких образцов немного.
                                      Надо будет спросить у наших коллег в антивирусной лаборатории PandaLabs, что они думают по поводу Вашей идеи :)

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое