Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Полезная информация

Защита от вирусных шифровщиков с помощью HIPS

RSS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 05:47:37
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Пред. 1 ... 8 9 10 11 12 След.
 
Alex82
Alex82
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 23.08.2014
Размещено 26.10.2014 20:04:29
Ну тут разговор об уже давней проблеме, не вчера появилось.
Настройки hips конечно хорошо, а что пользователям антивируса делать?  Там же нет такой настройки hips как в смарт секьюрити.
Да и способы уж больно радикальные, запретить запись, изменение и т.п, а работать то как? :
Там и так чуть что нестандартное из последовательности действий, то сразу претензии или обьяснять по 10 раз :) а вы хотите все позапрещать ) Конечно это поможет, там и ограничениями пользователя средствами системы можно много чего позапрещать, только гимора будет чуть ли не больше чем от шифровальщика ))
Я вот не пойму, почему нельзя тупо операцию шифрования (тем более используются стандартные механизмы и один и тот же метод и программные средства) взять и занести в список действий по отслеживанию которых выводилось хотя бы предупреждение, что вы собираетесь сделать то-то и то-то и к чему этг может привести, красным каким нибудь страшным шрифтом :)
 
Petrovic
Petrovic
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 12.11.2013
Размещено 26.10.2014 21:13:40
Цитата
Alex82
Настройки hips конечно хорошо, а что пользователям антивируса делать?  Там же нет такой настройки hips как в смарт секьюрити.
hips есть и в антивурусе) и настройки такие же
 
Alex82
Alex82
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 23.08.2014
Размещено 26.10.2014 21:16:17
Хм... Странно ) я тут мельком глянул чего то не заметил, в том же месте они?
Пощелкал побыстрому, прглядел наверное, под рукой просто нету.
Ну хорошо, насчет этого я написал, а по осташьному то чего? :)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2014 08:09:03
hips с возможностью создавать правила есть в продуктах ESET начиная с линейки продуктов 5.

Цитата
Ну хорошо, насчет этого я написал, а по осташьному то чего?  :)

а что вы имеете ввиду под "остальным"? напишите конкретнее
Изменено: santy - 27.10.2014 08:09:20
[ Как создать образ автозапуска? ]
 
Alex82
Alex82
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 23.08.2014
Размещено 27.10.2014 08:51:22
По поводу отслеживания таких неоднозначных операций шифрования.

Я вот тут вчера прочитал всю эту тему, обсуждали тут все работоспособность защиты файлов от удаления и какие файлы надо защитить от удаления.
В итоге выходит не все просто и однозначно и все равно гарантии нет, тем более может что-то поменяться.

А вот в принципе то ничего не меняется, само шифрование, как было с помощью одних и тех же механизмов и программных средств, так и осталось.
Так вот в связи с этим я  там выше и спрашивал по поводу отслеживания таких операций.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2014 09:43:43
метод, который здесь описан позволяет защититься от бат-энкодеров, .т.е. если шифрование все таки произойдет, то произойдет оно известным ключом, так что в последствие возможна расшифровка.

по другим шифраторам каких то четких рекомендаций нет, в силу того, что мало кто занимается исследованием подобных шифраторов здесь на форуме.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.12.2014 08:41:31
в ESET Endpoint Security 6 похоже улучшили HIPS. в %temp% можно запретить создание pubring.gpg для всех приложений, соответственно gpg.exe (или ее варианты с другим наименованием) не сможет создать pubring.gpg даже если будет запущена из других приложений: *.bat, *.cmd

кстати, хелп по корпоративной шестерке (пока в английской редакции):
http://help.eset.com/ees/6/en-US/?idh_hips_editor_single_rule.htm
Изменено: santy - 25.12.2014 08:50:34
[ Как создать образ автозапуска? ]
 
Anmawe
Anmawe
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 21.11.2012
Размещено 05.03.2015 20:55:09
Скажите пожалуйста, защищает ли HIPS в Ноде от шифровальшиков, которые внедряются в доверенный процесс? Например, троян создает новый поток в процессе explorer.exe . Предупредит ли HIPS, что процесс такой-то пытается внедриться в доверенный процесс explorer.exe ?
Процесс  explorer.exe не контролируется HIPS-ом и шифровальщик будет делать всё что угодно ?

Есть ли у Нода защита от шифровальщиков как в антивирусе Доктор веб ? Защита от потери данных - создается защищенное  хранилище (папка в корне диска ) резервных копий важных файлов.  
Изменено: Anmawe - 05.03.2015 20:58:05
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 23.03.2015 15:09:26
Цитата
Anmawe написал:
Есть ли у Нода защита от шифровальщиков как в антивирусе Доктор веб ? Защита от потери данных - создается защищенное  хранилище (папка в корне диска ) резервных копий важных файлов.
Нет, к сожалению, нету.


Цитата
Anmawe написал:
Скажите пожалуйста, защищает ли HIPS в Ноде от шифровальшиков, которые внедряются в доверенный процесс?
Какое - то универсальное правило, которое было бы панацеей от всех шифраторов, не придумали. Варианта два - создавать правила для запрета доступа недостоверным приложениям к редактированию конкретных папок с документами, либо создавать правила для защиты от конкретных шифраторов, зная пути их распространения в системе.
ESET Technical Support
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 24.03.2015 18:20:59
Цитата
Нет, к сожалению, нету.
А в 9 версии антивируса будут добавлены новые модули для защиты от шифраторов?  
Михаил
 
Пред. 1 ... 8 9 10 11 12 След.
Читают тему