В будущем возможно ли появление подобного функционала ? У доктор веба тоже есть (Dr.Web Process Heuristic) .Было бы хорошо, чтобы и у Нода тоже был подобный функционал.

Обойти можно любую защиту, конечно . Другое дело, что обойти компоненты "Мониторинг активности" в касперском, "превентивную защиту" в доктор вебе сложнее, чем компонент "Файловый антивирус" (сигнатурный, эвристический анализ) . Просто криптануть шифровальщик не получится, нужен новый алгоритм в трояне, который обойдет алгоритм, заложенный в Хипсе .

Мне на форуме касперского написали http://forum.kaspersky.com/index.php?s=&showtopic=239420&view=findpost&p=2390490

Да. Антивирусная компания всегда будет на шаг позади, так как вирусописатель может тестировать свои труды антивирусом на детектируемость. И, как следствие, сбивать детект.
В данном случае, можно вообще ничего не детектировать, и пользователи будут шифроваться месяц за месяцем. А можно сделать это с опозданием ( например, на 5 часов ). Тогда шансов не заразиться будет больше.
P.S. Но первые всегда пострадают. С этим ничего не поделаешь. Ну, пока не поделаешь.

Касперский и доктор веб обнаруживают нового шифровальщика после 5-10 зашифрованного файла и завершают его работу. Есть ли такой функционал в Ноде ? Если нет, то будет ли ?

Можете подробнее написать ? Если любой  процесс, в том числе системный, (кроме антивируса ) пытается внести изменения в хранилище копий  - информировать ?

Есть ли руткиты уровня ядра, которые файлы шифруют ? Или таких ещё не делают ? После загрузки драйвера вредоносная программа может и антивирус отключить, и  хранилище копий антивирус не будет защищать , верно ?

Ещё вопрос - если есть выключенный HDD, троян-шифровальщик может ли его включить и зашифровать файлы ? Читал на форумах, что шифровальщики сразу шифруют то, к чему доступ есть. Если я включаю HDD через диспетчер устройств, то и вредоносная программа может попробовать - а вдруг есть отключенные устройства  ? На форумах и сайтах я не видел, чтобы троян включил жесткие диски и зашифровал файлы.

Злоумышленники с этим не заморачиваются (с вышенаписанным) ?

Мониторинг активности в Касперском умеет создавать резервные документы, которые открывались недоверенными приложениями и откатывать действия вредоносной программы. В результате, если документ был зашифрован, то потерянные файлы просто восстанавливаются из резервной копии.

Умеет ли Нод откатывать действия вредоносной программы  ? Если умеет, как компонент этот называется ?

Может я не прав, но если файл упакован - то это означает только то, что он просто упакован. При этом программа может быть троянской , а может быть и не троянской.

В моем понимании троянская программа - это программа, которая выполняет деструктивную  активность на компьютере. В лаборатории Нод такое же примерно определение термина "троянская программа" ? Или другое определение ?

Что в лаборатории Нод считается троянской программой ?

На википедии написано "Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены"

У касперкого такое определение

Троянские программы — это вредоносные программы, выполняющие несанкционированные пользователем действия. Такие действия могут включать:

• удаление данных;
  
• блокирование данных;
  
• изменение данных;
  
• копирование данных;
  
• замедление работы компьютеров и компьютерных сетей
  

Скажите пожалуйста, почему Нод называет файлы, упакованные упаковщиком VMProtect без лицензии именно троянской программой, а не потенциально опасной или потенциально нежелательной ?

Скажите пожалуйста, защищает ли HIPS в Ноде от шифровальшиков, которые внедряются в доверенный процесс? Например, троян создает новый поток в процессе explorer.exe . Предупредит ли HIPS, что процесс такой-то пытается внедриться в доверенный процесс explorer.exe ?
Процесс  explorer.exe не контролируется HIPS-ом и шифровальщик будет делать всё что угодно ?

Есть ли у Нода защита от шифровальщиков как в антивирусе Доктор веб ? Защита от потери данных - создается защищенное  хранилище (папка в корне диска ) резервных копий важных файлов.  

Сказки это . Использую XP , антивирус не установлен, вирусня не беспокоит. Сижу в админской учетке, гуляю по разным сайтам. Программы со случайных сайтов не качаю и не запускаю.  

Zip архив размером 423 мегабайта. В нем 34 файла. Раздача с трекера. Есть один exe-файл размером 392 мегабайта.

У двух файлов почему-то не действительна цифровая подпись.

http://whitelist.kaspersky.ru/advisor-ru#search/A69A89592A976ED0992D6FC424ADB72E
http://whitelist.kaspersky.ru/advisor-ru#search/3AD208BF849C05D861DFA8D26D23184F
http://whitelist.kaspersky.ru/advisor-ru#search/9ED990892989FA5A04B14BBBFEA275A4