Комментарии 8
«Антивирус обнаруживает только то, о чем заложено в его алгоримах — и не более того.» — глупость. Антивирус — в первую очередь вирусные базы. То, что не может быть поймано хитрыми «алгоритмами» ловится базами в два счета.
Сравнение числа различных имен вирусных записей, добавленных за некоторое число — деление температуры на марсе на стоимость картошки в Зимбабве. Сколько из Энкодеров являются ими на самом деле? И сколько Даунлоадеров? Вы не знаете, вендор не знает и узнавать вряд ли будет. Есть детект и славно!
Кого нужно бояться из «экспертов»? И нужно ли придумывать что-то более хитрое, чем инкрементный бэкап данных?
Сравнение числа различных имен вирусных записей, добавленных за некоторое число — деление температуры на марсе на стоимость картошки в Зимбабве. Сколько из Энкодеров являются ими на самом деле? И сколько Даунлоадеров? Вы не знаете, вендор не знает и узнавать вряд ли будет. Есть детект и славно!
Кого нужно бояться из «экспертов»? И нужно ли придумывать что-то более хитрое, чем инкрементный бэкап данных?
Антивирус это не только вирусные базы. Но по порядку.
1. Антивирусные базы — это набор записей. Записи это и сигнатуры и распаковщики и эмулятор и эвристики. С помощью баз антивирус ловит вредоносные программы известные (с помощью сигнатур) и неизвестные, но похожие на известные (с помощью эвристиков, эмуляторов и тд). Вредоносные программы, ранее протестированные на необнаружение антивирусами и только после этого выпущенные в мир с помощью баз не ловятся.
Антивирусные базы бывают локальные и облачные. Хотя конечно проверка в облаках осуществляется совсем по иному, так как передавать файлы на анализ нельзя
2. вторая часть антивируса — поведенческий анализатор. С помощью его ловят неизвестные вредоносные программы после их запуска по поведению. В частности так ловят неизвестные шифровальщики, локеры и тд
И записи и база данных поведенческого анализатора — это известные знания.
И кстати сигнатурами полиморфные вирусы не ловиятся. Недавно снова нашли такого
И бакап бывает разный. Есть те, кто его хранит локально или использует теневое копирование работая под админом — результат печален. Как я написал — проблема в неумении пользоваться методами защиты
1. Антивирусные базы — это набор записей. Записи это и сигнатуры и распаковщики и эмулятор и эвристики. С помощью баз антивирус ловит вредоносные программы известные (с помощью сигнатур) и неизвестные, но похожие на известные (с помощью эвристиков, эмуляторов и тд). Вредоносные программы, ранее протестированные на необнаружение антивирусами и только после этого выпущенные в мир с помощью баз не ловятся.
Антивирусные базы бывают локальные и облачные. Хотя конечно проверка в облаках осуществляется совсем по иному, так как передавать файлы на анализ нельзя
2. вторая часть антивируса — поведенческий анализатор. С помощью его ловят неизвестные вредоносные программы после их запуска по поведению. В частности так ловят неизвестные шифровальщики, локеры и тд
И записи и база данных поведенческого анализатора — это известные знания.
И кстати сигнатурами полиморфные вирусы не ловиятся. Недавно снова нашли такого
И бакап бывает разный. Есть те, кто его хранит локально или использует теневое копирование работая под админом — результат печален. Как я написал — проблема в неумении пользоваться методами защиты
Как можно сравнивать вредоносное ПО и ПО для распространения?
Шифровальщик — это вредоносное ПО.
Дроппер — это способ распространения вреоносного ПО.
Шифровальщик может быть закинут на ПК с помощью дроппера.
Шифровальщик — это вредоносное ПО.
Дроппер — это способ распространения вреоносного ПО.
Шифровальщик может быть закинут на ПК с помощью дроппера.
Никто и не сравнивает. Речь немного о другом. Все перечисленное вами — виды вредоносных программ. Но если о шифровальщиках знают все, то о средствах их доставки задумываются немногие. В результате очень много рекомендаций о защите от шифровальщиков, но мало случаев, когда в антивирусные лаборатории попадает весь вредоносный комплекс. О чем и речь в статье. Если вредоносный комплекс спроектирован грамотно, то дроппер может к моменту выявления шифровальщика уже самоудалиться и не будет найден, что означает, что скорее всего как он проник не будет выявлено и злоумышленники смогут забросить следующий шифровальщик. Или кейлоггер или еще чего
Даже если он будет найден и добавлен в базу антивирусов — появится следующее поколение, которое принесет того же шифровальщика.
Я не боюсь дропперов и вообще никаких способов распространения не боюсь. Потому что от них нельзя защититься. И нет смысла их бояться, надо исходить из того что они все равно пролезут.
А боятся надо шифровальщиков и иже с ними, потому что именно они наносят фактический вред и именно с последствиями их работы приходится бороться. И как раз от них защититься можно. Вернее не столько защититься, сколько минимизировать последствия после их работы.
Я не боюсь дропперов и вообще никаких способов распространения не боюсь. Потому что от них нельзя защититься. И нет смысла их бояться, надо исходить из того что они все равно пролезут.
А боятся надо шифровальщиков и иже с ними, потому что именно они наносят фактический вред и именно с последствиями их работы приходится бороться. И как раз от них защититься можно. Вернее не столько защититься, сколько минимизировать последствия после их работы.
В принципе можно и так, но есть одно но. Дело в том, что вендорам вредоносные файлы попадают зачастую от пользователей. Люди хотят, чтобы иные пользователи не заразились тем, чем заразились они. Но в большинстве своем те, кто присылает нам образцы — они не профессионалы — и присылают то, что они нашли в системе. В большинстве своем пользователи не осведомлены о современных угрозах и могут даже не искать то, о чем не знают. Люди присылают нам огромное количество скриншотов — это единственное, что они могут сделать и прислать, но в теме статьи они пишут «возможно это вам поможет». Статьей я отчасти хотел обратить внимание еще и на это узкое место в индустрии безопасности. Нужно знать, что нам нужно для расшифровки, для предотвращения новых заражений. Если интересно, могу небольшой фак на эту тему накидать.
Лично у меня нет претензий к основному содержимому статьи или к вам.
Статья ОК.
У меня претензия насчет противопоставления шифровальщиков и дропперов. И уж тем более есть претензии на тему того, что нужно «бояться» дропперов.
Статья ОК.
У меня претензия насчет противопоставления шифровальщиков и дропперов. И уж тем более есть претензии на тему того, что нужно «бояться» дропперов.
Аналогично. Точек зрения может быть много. Статья писалась от того, с чем сталкиваюсь я лично. А лично я сталкиваюсь с незнанием никаких угроз кроме шифровальщиков, с тем, что значимость новостей о вредоносных файлах принижается фактом того, что неизвестно, как вредоносный файл проникает в систему. Ну и самое главное — тем, что компании и пользователи в деле защиты от вредоносного ПО полагаются исключительно на антивирус
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Кого нужно бояться среди вредоносных программ