Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Полезная информация

Защита от вирусных шифровщиков с помощью HIPS

RSS
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 25.09.2014 05:47:37
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Пред. 1 ... 8 9 10 11 12 След.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 24.03.2015 20:16:04
Я бы так сделал.
ESET  создаёт копии всех важных данных ( список файлов/расширений может быть настроен вручную )
- Директория хранения... ( реализовать возможность _автоматического сохранения файла сразу в двух директориях ) - ( Указать место хранения )
Например хранилище  на HDD - а второе хранилище синхронизируется при подключении внешнего устройства.
- Настраивается максимальный вес файла.
- Настраивается максимальный объём занимаемого пространства.
- Настраиваются условия:
Сохранять копию файла раз в *** часов.
и/или
Сохранять при изменении файла.
Число ( теневых ) Копий файла = ***
Хранить копии дней = ***
- Информировать о попытке несанкционированного доступа к хранилищу копий.
 
Anmawe
Anmawe
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 21.11.2012
Размещено 27.03.2015 13:36:09
Цитата
RP55 RP55 написал:
Информировать о попытке несанкционированного доступа к хранилищу копий.

Можете подробнее написать ? Если любой  процесс, в том числе системный, (кроме антивируса ) пытается внести изменения в хранилище копий  - информировать ?

Есть ли руткиты уровня ядра, которые файлы шифруют ? Или таких ещё не делают ? После загрузки драйвера вредоносная программа может и антивирус отключить, и  хранилище копий антивирус не будет защищать , верно ?

Ещё вопрос - если есть выключенный HDD, троян-шифровальщик может ли его включить и зашифровать файлы ? Читал на форумах, что шифровальщики сразу шифруют то, к чему доступ есть. Если я включаю HDD через диспетчер устройств, то и вредоносная программа может попробовать - а вдруг есть отключенные устройства  ? На форумах и сайтах я не видел, чтобы троян включил жесткие диски и зашифровал файлы.

Злоумышленники с этим не заморачиваются (с вышенаписанным) ?

Изменено: Anmawe - 27.03.2015 13:38:54
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 27.03.2015 17:57:32
Anmawe

Теоретически можно всё.
А практически никто микроскопом гвозди не забивает.
Вирус сам по себе ( его создание ) требует денег.
Поддержание вируса ( защита от обнаружения антивирусами ) требует денег.
Чем сложнее вирус тем дороже он обходиться злоумышленникам/заказчикам.
--------
По защите файлов читайте про HIPS.
--------
По дискам и их включениям.
Это опять же, дополнительный функционал вируса...
за который нужно заплатить.
Как правило одни люди пишут вирусы - другие их покупают и используют в своих целях.
В данном случае платить за "штаны в крапинку" никто не будет.
Скажем заразили 1000 PC и на скольких из них будут/есть отключенные диски ?
на  0001% и чего ради стараться ?
Сейчас есть модульные вирусы/конструкторы - можно прикрутить доп. функции...
Но опять же чего ради ?
------
Кроме того у Антивирусов есть эвристика.
И чем вирус больше будет делать телодвижений - тем его легче будет вычислить.
 
 
Anmawe
Anmawe
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 21.11.2012
Размещено 02.04.2015 15:26:07
Касперский и доктор веб обнаруживают нового шифровальщика после 5-10 зашифрованного файла и завершают его работу. Есть ли такой функционал в Ноде ? Если нет, то будет ли ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.04.2015 10:37:55
Anmawe,
по Касперскому не знаю, а ДрВеб 10 с превентивной защитой (рекомендуемый оптимальный уровень) пропускает последние варианты VAULT.
(при условии, если js не детектируется и запускается в системе, я просто в качестве теста запускал js из папки исключения)
это конечно, не значит, что DrWeb с плохой защитой,
хорошо что ведется работа в направлении предупреждения деструктивных действий шифраторов.

у ESET аналогом превентивной защиты является настраиваемый HIPS.
[ Как создать образ автозапуска? ]
 
Anmawe
Anmawe
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 21.11.2012
Размещено 10.04.2015 00:04:52
Цитата
santy написал:
по Касперскому не знаю, а ДрВеб 10 с превентивной защитой (рекомендуемый оптимальный уровень) пропускает последние варианты VAULT.

Обойти можно любую защиту, конечно . Другое дело, что обойти компоненты "Мониторинг активности" в касперском, "превентивную защиту" в доктор вебе сложнее, чем компонент "Файловый антивирус" (сигнатурный, эвристический анализ) . Просто криптануть шифровальщик не получится, нужен новый алгоритм в трояне, который обойдет алгоритм, заложенный в Хипсе .

Мне на форуме касперского написали http://forum.kaspersky.com/index.php?s=&showtopic=239420&view=findpost&p=2390490

Да. Антивирусная компания всегда будет на шаг позади, так как вирусописатель может тестировать свои труды антивирусом на детектируемость. И, как следствие, сбивать детект.
В данном случае, можно вообще ничего не детектировать, и пользователи будут шифроваться месяц за месяцем. А можно сделать это с опозданием ( например, на 5 часов ). Тогда шансов не заразиться будет больше.
P.S. Но первые всегда пострадают. С этим ничего не поделаешь. Ну, пока не поделаешь.
Изменено: Anmawe - 10.04.2015 00:05:19
 
Олег Токарев
Олег Токарев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 28.01.2016
Размещено 28.01.2016 09:24:45
Подскажите, пожалуйста, могу я как-то в правилах HIPS разрешить доступ на запись файлов приложениям только по имени файла (без указания пути)?
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 09.02.2016 22:21:14
Потестировал немного Eset. Очень неплохо. Если будет время еще на Cryakl потом проверю.

https://www.youtube.com/watch?v=Rk67dlfCGfg
Михаил
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 16.02.2016 09:16:52
Eset 9.0 и Lortok

https://youtu.be/f8VHtvaT4hI
Михаил
 
Александр Калугин
Александр Калугин
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 02.11.2017
Размещено 02.11.2017 15:02:01
Обьясните как добавлять папки для защиты от изменений в 11 версии
 
Пред. 1 ... 8 9 10 11 12 След.
Читают тему