Защита от вирусных шифровщиков с помощью HIPS

RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Ну тут разговор об уже давней проблеме, не вчера появилось.
Настройки hips конечно хорошо, а что пользователям антивируса делать?  Там же нет такой настройки hips как в смарт секьюрити.
Да и способы уж больно радикальные, запретить запись, изменение и т.п, а работать то как? :
Там и так чуть что нестандартное из последовательности действий, то сразу претензии или обьяснять по 10 раз :) а вы хотите все позапрещать ) Конечно это поможет, там и ограничениями пользователя средствами системы можно много чего позапрещать, только гимора будет чуть ли не больше чем от шифровальщика ))
Я вот не пойму, почему нельзя тупо операцию шифрования (тем более используются стандартные механизмы и один и тот же метод и программные средства) взять и занести в список действий по отслеживанию которых выводилось хотя бы предупреждение, что вы собираетесь сделать то-то и то-то и к чему этг может привести, красным каким нибудь страшным шрифтом :)
Цитата
Alex82
Настройки hips конечно хорошо, а что пользователям антивируса делать?  Там же нет такой настройки hips как в смарт секьюрити.
hips есть и в антивурусе) и настройки такие же
Хм... Странно ) я тут мельком глянул чего то не заметил, в том же месте они?
Пощелкал побыстрому, прглядел наверное, под рукой просто нету.
Ну хорошо, насчет этого я написал, а по осташьному то чего? :)
hips с возможностью создавать правила есть в продуктах ESET начиная с линейки продуктов 5.

Цитата
Ну хорошо, насчет этого я написал, а по осташьному то чего?  :)

а что вы имеете ввиду под "остальным"? напишите конкретнее
Изменено: santy - 27.10.2014 08:09:20
По поводу отслеживания таких неоднозначных операций шифрования.

Я вот тут вчера прочитал всю эту тему, обсуждали тут все работоспособность защиты файлов от удаления и какие файлы надо защитить от удаления.
В итоге выходит не все просто и однозначно и все равно гарантии нет, тем более может что-то поменяться.

А вот в принципе то ничего не меняется, само шифрование, как было с помощью одних и тех же механизмов и программных средств, так и осталось.
Так вот в связи с этим я  там выше и спрашивал по поводу отслеживания таких операций.
метод, который здесь описан позволяет защититься от бат-энкодеров, .т.е. если шифрование все таки произойдет, то произойдет оно известным ключом, так что в последствие возможна расшифровка.

по другим шифраторам каких то четких рекомендаций нет, в силу того, что мало кто занимается исследованием подобных шифраторов здесь на форуме.
в ESET Endpoint Security 6 похоже улучшили HIPS. в %temp% можно запретить создание pubring.gpg для всех приложений, соответственно gpg.exe (или ее варианты с другим наименованием) не сможет создать pubring.gpg даже если будет запущена из других приложений: *.bat, *.cmd

кстати, хелп по корпоративной шестерке (пока в английской редакции):
http://help.eset.com/ees/6/en-US/?idh_hips_editor_single_rule.htm
Изменено: santy - 25.12.2014 08:50:34
Скажите пожалуйста, защищает ли HIPS в Ноде от шифровальшиков, которые внедряются в доверенный процесс? Например, троян создает новый поток в процессе explorer.exe . Предупредит ли HIPS, что процесс такой-то пытается внедриться в доверенный процесс explorer.exe ?
Процесс  explorer.exe не контролируется HIPS-ом и шифровальщик будет делать всё что угодно ?

Есть ли у Нода защита от шифровальщиков как в антивирусе Доктор веб ? Защита от потери данных - создается защищенное  хранилище (папка в корне диска ) резервных копий важных файлов.  
Изменено: Anmawe - 05.03.2015 20:58:05
Цитата
Anmawe написал:
Есть ли у Нода защита от шифровальщиков как в антивирусе Доктор веб ? Защита от потери данных - создается защищенное  хранилище (папка в корне диска ) резервных копий важных файлов.
Нет, к сожалению, нету.


Цитата
Anmawe написал:
Скажите пожалуйста, защищает ли HIPS в Ноде от шифровальшиков, которые внедряются в доверенный процесс?
Какое - то универсальное правило, которое было бы панацеей от всех шифраторов, не придумали. Варианта два - создавать правила для запрета доступа недостоверным приложениям к редактированию конкретных папок с документами, либо создавать правила для защиты от конкретных шифраторов, зная пути их распространения в системе.
ESET Technical Support
Цитата
Нет, к сожалению, нету.
А в 9 версии антивируса будут добавлены новые модули для защиты от шифраторов?  
Михаил
Читают тему (гостей: 2)