Защита от вирусных шифровщиков с помощью HIPS

RSS
Дополнительные настройки - Компьютер - HIPS - Конфигурировать правила...



Защищаем файлы в папке "Документы" запрещено удалять и изменять файлы внутри этой папки и в ее подпапках.

Изменено: Виктор - 25.09.2014 09:51:31

Ответы

Я бы так сделал.
ESET  создаёт копии всех важных данных ( список файлов/расширений может быть настроен вручную )
- Директория хранения... ( реализовать возможность _автоматического сохранения файла сразу в двух директориях ) - ( Указать место хранения )
Например хранилище  на HDD - а второе хранилище синхронизируется при подключении внешнего устройства.
- Настраивается максимальный вес файла.
- Настраивается максимальный объём занимаемого пространства.
- Настраиваются условия:
Сохранять копию файла раз в *** часов.
и/или
Сохранять при изменении файла.
Число ( теневых ) Копий файла = ***
Хранить копии дней = ***
- Информировать о попытке несанкционированного доступа к хранилищу копий.
Цитата
RP55 RP55 написал:
Информировать о попытке несанкционированного доступа к хранилищу копий.

Можете подробнее написать ? Если любой  процесс, в том числе системный, (кроме антивируса ) пытается внести изменения в хранилище копий  - информировать ?

Есть ли руткиты уровня ядра, которые файлы шифруют ? Или таких ещё не делают ? После загрузки драйвера вредоносная программа может и антивирус отключить, и  хранилище копий антивирус не будет защищать , верно ?

Ещё вопрос - если есть выключенный HDD, троян-шифровальщик может ли его включить и зашифровать файлы ? Читал на форумах, что шифровальщики сразу шифруют то, к чему доступ есть. Если я включаю HDD через диспетчер устройств, то и вредоносная программа может попробовать - а вдруг есть отключенные устройства  ? На форумах и сайтах я не видел, чтобы троян включил жесткие диски и зашифровал файлы.

Злоумышленники с этим не заморачиваются (с вышенаписанным) ?

Изменено: Anmawe - 27.03.2015 13:38:54
Anmawe

Теоретически можно всё.
А практически никто микроскопом гвозди не забивает.
Вирус сам по себе ( его создание ) требует денег.
Поддержание вируса ( защита от обнаружения антивирусами ) требует денег.
Чем сложнее вирус тем дороже он обходиться злоумышленникам/заказчикам.
--------
По защите файлов читайте про HIPS.
--------
По дискам и их включениям.
Это опять же, дополнительный функционал вируса...
за который нужно заплатить.
Как правило одни люди пишут вирусы - другие их покупают и используют в своих целях.
В данном случае платить за "штаны в крапинку" никто не будет.
Скажем заразили 1000 PC и на скольких из них будут/есть отключенные диски ?
на  0001% и чего ради стараться ?
Сейчас есть модульные вирусы/конструкторы - можно прикрутить доп. функции...
Но опять же чего ради ?
------
Кроме того у Антивирусов есть эвристика.
И чем вирус больше будет делать телодвижений - тем его легче будет вычислить.
 
Касперский и доктор веб обнаруживают нового шифровальщика после 5-10 зашифрованного файла и завершают его работу. Есть ли такой функционал в Ноде ? Если нет, то будет ли ?
Anmawe,
по Касперскому не знаю, а ДрВеб 10 с превентивной защитой (рекомендуемый оптимальный уровень) пропускает последние варианты VAULT.
(при условии, если js не детектируется и запускается в системе, я просто в качестве теста запускал js из папки исключения)
это конечно, не значит, что DrWeb с плохой защитой,
хорошо что ведется работа в направлении предупреждения деструктивных действий шифраторов.

у ESET аналогом превентивной защиты является настраиваемый HIPS.
Цитата
santy написал:
по Касперскому не знаю, а ДрВеб 10 с превентивной защитой (рекомендуемый оптимальный уровень) пропускает последние варианты VAULT.

Обойти можно любую защиту, конечно . Другое дело, что обойти компоненты "Мониторинг активности" в касперском, "превентивную защиту" в доктор вебе сложнее, чем компонент "Файловый антивирус" (сигнатурный, эвристический анализ) . Просто криптануть шифровальщик не получится, нужен новый алгоритм в трояне, который обойдет алгоритм, заложенный в Хипсе .

Мне на форуме касперского написали http://forum.kaspersky.com/index.php?s=&showtopic=239420&view=findpost&p=2390490

Да. Антивирусная компания всегда будет на шаг позади, так как вирусописатель может тестировать свои труды антивирусом на детектируемость. И, как следствие, сбивать детект.
В данном случае, можно вообще ничего не детектировать, и пользователи будут шифроваться месяц за месяцем. А можно сделать это с опозданием ( например, на 5 часов ). Тогда шансов не заразиться будет больше.
P.S. Но первые всегда пострадают. С этим ничего не поделаешь. Ну, пока не поделаешь.
Изменено: Anmawe - 10.04.2015 00:05:19
Подскажите, пожалуйста, могу я как-то в правилах HIPS разрешить доступ на запись файлов приложениям только по имени файла (без указания пути)?
Потестировал немного Eset. Очень неплохо. Если будет время еще на Cryakl потом проверю.

https://www.youtube.com/watch?v=Rk67dlfCGfg
Михаил
Eset 9.0 и Lortok

https://youtu.be/f8VHtvaT4hI
Михаил
Обьясните как добавлять папки для защиты от изменений в 11 версии
Читают тему (гостей: 1)