Комментарии 33
А какой суммой Вы готовы гарантировать защиту данных Вашим антивирусом?
В соответствии с Лицензионным соглашением с конечным пользователем мы предлагаем ограниченную гарантию, которая не превышает стоимости лицензий продукта.
Это общая практика.
Это общая практика.
Купил Фернандо за 100 золотых у Адриана осла. Тот должен был привести его завтра.
На следущий день приходит Адриан к Фернандо, но без осла. Фернандо спрашивает Адриана:
— Где же мой осел?
— Прости друг, но осел умер.
— Тогда верни мне мои деньги! — возразил Фернандо.
— К сожалению, я их уже потратил.
— Тогда привези мне мертвого осла. — приказал Фернандо.
— Зачем он тебе?
— Я разыграю его в лотерею.
— Как же так? Мертвого осла? — спросил Адриан.
— Да, я просто никому не скажу, что он мертвый.
Прошел месяц-два. Встретились Фернандо и Адриан. Спрашивает Адриан:
— Получилось разыграть осла?
— Да, я вернул себе свои деньги. Продал 500 лотерейных билетов за 2 золотых.
— И что, никто не догадался?
— Только тот, что выиграл.
— И что он сделал? — удивленно спросил Адриан.
— Ничего, я просто вернул ему два золотых.
На следущий день приходит Адриан к Фернандо, но без осла. Фернандо спрашивает Адриана:
— Где же мой осел?
— Прости друг, но осел умер.
— Тогда верни мне мои деньги! — возразил Фернандо.
— К сожалению, я их уже потратил.
— Тогда привези мне мертвого осла. — приказал Фернандо.
— Зачем он тебе?
— Я разыграю его в лотерею.
— Как же так? Мертвого осла? — спросил Адриан.
— Да, я просто никому не скажу, что он мертвый.
Прошел месяц-два. Встретились Фернандо и Адриан. Спрашивает Адриан:
— Получилось разыграть осла?
— Да, я вернул себе свои деньги. Продал 500 лотерейных билетов за 2 золотых.
— И что, никто не догадался?
— Только тот, что выиграл.
— И что он сделал? — удивленно спросил Адриан.
— Ничего, я просто вернул ему два золотых.
То есть, вы можете продать решето, вернуть стоимость пострадавшим и все равно остаться в плюсе? Ведь доля пострадавших — маленькая.
>Но на диаграмме мы видим прямо противоположное тому, что ожидали.
а ось x в чем измеряется, сейчас мы просто видим временную шкалу с вертикальными черточками
а ось x в чем измеряется, сейчас мы просто видим временную шкалу с вертикальными черточками
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Тут еще есть два нюанса. 1. Не все трояны удаляют теневые копии. 2. Для выполнения команды удаления копии нужно обладать правами админа.
НЛО прилетело и опубликовало эту надпись здесь
Естественно. А поскольку шифровальщики как правило попадают через письма, то проблема шифровальщиков в первую очередь проблема слишком больших прав на установку ПО и настройку системы.
Проблема в том, что когда на конференциях спрашиваешь о том, кто пострадал от шифровальщиков — процентов до 30 компаний-участников конференции в зависимости от региона.
Проблема в том, что когда на конференциях спрашиваешь о том, кто пострадал от шифровальщиков — процентов до 30 компаний-участников конференции в зависимости от региона.
А как ограниченная учетная запись, которая ПО не может ставить, спасет от шифровальщика? Если шифровальщик охотится за пользовательскими данными, а не файлами системы — ему права админа нафиг не сдались. Да и устанавливаться ему тоже никуда не нужно — достаточно один раз запуститься, сделать свое дело и уйти со сцены.
Теневые копии не сможет удалить. А из них пользовательские данные восстанавливаются в 2 клика.
НЛО прилетело и опубликовало эту надпись здесь
Да, такой подход тоже полезен.
Но тут есть свои нюансы:
1. Зачастую такие жесткие ограничения могут негативно сказаться на работе сотрудников, т.к. в каких-то ситуациях надо будет дергать администратора, чтобы он сделал разрешение на запуск чего-то, что действительно необходимо для работы. В большой компании (или в мелкой, где сисадмин приходящий) не всегда можно сделать это оперативно. Тем более, что бывают случаи, когда легитимные программы в какой-то момент становятся вредоносными…
2. А как быть с теми случаями, когда зловред, используя уязвимость в легитимной программе, запускает в скрытом режиме (т.е. пользователь не знает об этом), например, установленный легитимный архиватор и архивирует файлы с паролем? Примерно такая же ситуация может быть и при посещении вполне надежного сайта, на котором показывается вредоносная реклама — в этом случае без ведома пользователя используется уязвимость в браузере… а дальше дело техники.
Поэтому PAD360 как раз и пытается учитывать все эти случаи, чтобы автоматизировать п.1 и отслеживать п.2
Но тут есть свои нюансы:
1. Зачастую такие жесткие ограничения могут негативно сказаться на работе сотрудников, т.к. в каких-то ситуациях надо будет дергать администратора, чтобы он сделал разрешение на запуск чего-то, что действительно необходимо для работы. В большой компании (или в мелкой, где сисадмин приходящий) не всегда можно сделать это оперативно. Тем более, что бывают случаи, когда легитимные программы в какой-то момент становятся вредоносными…
2. А как быть с теми случаями, когда зловред, используя уязвимость в легитимной программе, запускает в скрытом режиме (т.е. пользователь не знает об этом), например, установленный легитимный архиватор и архивирует файлы с паролем? Примерно такая же ситуация может быть и при посещении вполне надежного сайта, на котором показывается вредоносная реклама — в этом случае без ведома пользователя используется уязвимость в браузере… а дальше дело техники.
Поэтому PAD360 как раз и пытается учитывать все эти случаи, чтобы автоматизировать п.1 и отслеживать п.2
Любое средство защиты — не панацея, а лишь метод снижения риска. Сорри, что не расписал, что под правами я имею в виду не только ограничение доступа к данным, но и запрет исполнения файлов из аттачей, запрет на определенные типы файлов в аттачах, запрет на исполнение из директорий временных файлов, право на запуск исключительно белого списка программ и тд. Естественно и это можно обойти, но эти меры существенно снизят риск.
А в реальности подавляющая часть пользователей и компаний полагаются в всезнание антивируса — которого нет и не будет
А в реальности подавляющая часть пользователей и компаний полагаются в всезнание антивируса — которого нет и не будет
Обычно в таком случае насыпают побольше статистики.
О чем статья?
Хм, а если сначала шифровать файлы, а потом удалять теневые копии?
А если делать теневую копию теневой копии? Да, место на диске займет больше, но если первую копию удалят(например вирус), то можно восстановить из второй копии, которая изначально не будет доступна пользователю(в том числе и вирусу).
Лучше тогда сразу использовать πfs
Что мешает хранить теневые копии удаленно? К примеру на FreeNAS CIFS шаре и делать снимки состояния ZFS.
Просто как пример, первое, что в голову пришло.
Поднять такой стордж бэкапов можно поднять на любом старом железе и уложиться тысяч в 10 максимум.
Просто как пример, первое, что в голову пришло.
Поднять такой стордж бэкапов можно поднять на любом старом железе и уложиться тысяч в 10 максимум.
>первое, что они делают при заражении Вашего компьютера, — это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.
Не всегда. Былу меня недавно случай, шифровальщик сначала зашифровал все файлы (расширение у файлов стало da_vinci_code), а потом запросил админские привелегии на доступ к теневым копиям. Именно так, я и пользователь узнали, что приплыли… Антивирус молчал.
Не всегда. Былу меня недавно случай, шифровальщик сначала зашифровал все файлы (расширение у файлов стало da_vinci_code), а потом запросил админские привелегии на доступ к теневым копиям. Именно так, я и пользователь узнали, что приплыли… Антивирус молчал.
НЛО прилетело и опубликовало эту надпись здесь
Хм… А скажите мне господа и товарищи: я один не понимаю, почему на теневые копии такая надежда?
1. шифровальшик вполне себе легитимен со стороны антивируса — он просто открывает ПОЛЬЗОВАТЕЛЬСКИЕ файлы на запись и переписывает их.
2. если вместо удаления теневых копий он (вирус) будет делать активацию их обновления, сразу после шифрования (то есть, сами теневые копии тоже будут зашифрованы) — Вам будет легче?
Единственный вариант (из самых простых) найденный мной:
в каждой папке пользователя держать контрольный текстовый файл, в котором есть просто одна цифра (например, 5). В случае, если папка уже зашифрована — прочитать из файла мы не сможем — архивацию этой папки не разрешаем.
1. шифровальшик вполне себе легитимен со стороны антивируса — он просто открывает ПОЛЬЗОВАТЕЛЬСКИЕ файлы на запись и переписывает их.
2. если вместо удаления теневых копий он (вирус) будет делать активацию их обновления, сразу после шифрования (то есть, сами теневые копии тоже будут зашифрованы) — Вам будет легче?
Единственный вариант (из самых простых) найденный мной:
в каждой папке пользователя держать контрольный текстовый файл, в котором есть просто одна цифра (например, 5). В случае, если папка уже зашифрована — прочитать из файла мы не сможем — архивацию этой папки не разрешаем.
У нас надежды на теневые копии нет.
Мы просто констатируем, что если раньше еще они были полезны в этом плане, то теперь надежды то на них никакой нет, ибо шифровальщики их уничтожают.
Предложенный Вами вариант вполне прост и оригинален, и наверняка он в большинстве случаев эффективен.
Но в том случае, если шифровальщик шифрует только офисные файлы, а при этом текстовые файлы не трогает, то метод не сработает.
Хотя таких образцов немного.
Надо будет спросить у наших коллег в антивирусной лаборатории PandaLabs, что они думают по поводу Вашей идеи :)
Мы просто констатируем, что если раньше еще они были полезны в этом плане, то теперь надежды то на них никакой нет, ибо шифровальщики их уничтожают.
Предложенный Вами вариант вполне прост и оригинален, и наверняка он в большинстве случаев эффективен.
Но в том случае, если шифровальщик шифрует только офисные файлы, а при этом текстовые файлы не трогает, то метод не сработает.
Хотя таких образцов немного.
Надо будет спросить у наших коллег в антивирусной лаборатории PandaLabs, что они думают по поводу Вашей идеи :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Почему теневые копии не спасают от большинства шифровальщиков