В будущем возможно ли появление подобного функционала ? У доктор веба тоже есть ([I]Dr[/I].[I]Web Process Heuristic[/I]) .Было бы хорошо, чтобы и у Нода тоже был подобный функционал.

[QUOTE]santy написал:
по Касперскому не знаю, а ДрВеб 10 с превентивной защитой (рекомендуемый оптимальный уровень) пропускает последние варианты VAULT.
[/QUOTE]

Обойти можно любую защиту, конечно . Другое дело, что обойти компоненты "Мониторинг активности" в касперском, "превентивную защиту" в доктор вебе сложнее, чем компонент "Файловый антивирус" (сигнатурный, эвристический анализ) . Просто криптануть шифровальщик не получится, нужен новый алгоритм в трояне, который обойдет алгоритм, заложенный в Хипсе .

Мне на форуме касперского написали [URL=http://forum.kaspersky.com/index.php?s=&showtopic=239420&view=findpost&p=2390490]http://forum.kaspersky.com/index.php?s=&showtopic=239420&view=findpost&p=2390490[/URL]

[I]Да. Антивирусная компания всегда будет на шаг позади, так как [/I][I]вирусописатель может тестировать свои труды антивирусом на [/I][I]детектируемость. И, как следствие, сбивать детект.[/I]
[I]В данном [/I][I]случае, можно вообще ничего не детектировать, и пользователи будут [/I][I]шифроваться месяц за месяцем. А можно сделать это с опозданием ( [/I][I]например, на 5 часов ). Тогда шансов не заразиться будет больше.[/I]
[I]P.S. Но первые всегда пострадают. С этим ничего не поделаешь. Ну, пока не поделаешь.[/I]

Касперский и доктор веб обнаруживают нового шифровальщика после 5-10 зашифрованного файла и завершают его работу. Есть ли такой функционал в Ноде ? Если нет, то будет ли ?

[QUOTE]RP55 RP55 написал:
Информировать о попытке несанкционированного доступа к хранилищу копий.[/QUOTE]

Можете подробнее написать ? Если любой  процесс, в том числе системный, (кроме антивируса ) пытается внести изменения в хранилище копий  - информировать ?

Есть ли руткиты уровня ядра, которые файлы шифруют ? Или таких ещё не делают ? После загрузки драйвера вредоносная программа может и антивирус отключить, и  [COLOR=#333333]хранилище копий антивирус не будет защищать , верно ?
[/COLOR]
Ещё вопрос - если есть выключенный HDD, троян-шифровальщик может ли его включить и зашифровать файлы ? Читал на форумах, что шифровальщики сразу шифруют то, к чему доступ есть. Если я включаю HDD через диспетчер устройств, то и вредоносная программа может попробовать - а вдруг есть отключенные устройства  ? На форумах и сайтах я не видел, чтобы троян включил жесткие диски и зашифровал файлы. [COLOR=#333333]
[/COLOR]
Злоумышленники с этим не заморачиваются (с вышенаписанным) ?
[COLOR=#333333]
[/COLOR]

Мониторинг активности в Касперском умеет [COLOR=#2a2a2a][B]создавать резервные документы[/B], которые открывались недоверенными приложениями и [B]откатывать действия вредоносной программы[/B]. В результате, если документ был зашифрован, то потерянные файлы просто восстанавливаются из резервной копии.

[/COLOR]Умеет ли Нод откатывать [B]действия вредоносной программы[/B] ? Если умеет, как компонент этот называется ?

Может я не прав, но если файл упакован - то это означает только то, что он просто упакован. При этом программа может быть троянской , а может быть и не троянской.

В моем понимании троянская программа - это программа, которая выполняет деструктивную  активность на компьютере. В лаборатории Нод такое же примерно определение термина "троянская программа" ? Или другое определение ?

[U]Что в лаборатории Нод считается троянской программой ?[/U]

На википедии написано "[COLOR=#252525][I]Более чёткие критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ, до настоящего времени нигде четко не оговорены[/I][/COLOR]"

У касперкого такое определение

[COLOR=#666666][I]Троянские программы — это вредоносные программы, выполняющие несанкционированные пользователем действия. Такие действия могут включать:[/I][/COLOR][LIST]
[*][I]удаление данных;[/I]
[*][I]блокирование данных;[/I]
[*][I]изменение данных;[/I]
[*][I]копирование данных;[/I]
[*][I]замедление работы компьютеров и компьютерных сетей[/I]
[/LIST]

Скажите пожалуйста, почему Нод называет файлы, [COLOR=#333333]упакованные упаковщиком VMProtect без лицензии [B]именно троянской программой[/B], а не потенциально опасной или потенциально нежелательной ? [/COLOR]

Скажите пожалуйста, защищает ли HIPS в Ноде от шифровальшиков, которые [B]внедряются в доверенный процесс[/B]? Например, троян создает новый поток в процессе explorer.exe . Предупредит ли HIPS, что процесс такой-то пытается внедриться в [B]доверенный[/B] процесс explorer.exe ?
Процесс  explorer.exe не контролируется HIPS-ом и шифровальщик будет делать всё что угодно ?

Есть ли у Нода защита от шифровальщиков как в антивирусе Доктор веб ? Защита от потери данных - создается [COLOR=#464646][B]защищенное хранилище[/B] (папка в корне диска ) резервных копий важных файлов[/COLOR].

Сказки это . Использую XP , антивирус не установлен, вирусня не беспокоит. Сижу в админской учетке, гуляю по разным сайтам. Программы со [B]случайных сайтов[/B] не качаю и не запускаю.

Zip архив размером 423 мегабайта. В нем 34 файла. Раздача с трекера. Есть один exe-файл размером 392 мегабайта.

У двух файлов почему-то не действительна цифровая подпись.

[URL=http://whitelist.kaspersky.ru/advisor-ru#search/A69A89592A976ED0992D6FC424ADB72E]http://whitelist.kaspersky.ru/advisor-ru#search/A69A89592A976ED0992D6FC424ADB72E[/URL]
[URL=http://whitelist.kaspersky.ru/advisor-ru#search/3AD208BF849C05D861DFA8D26D23184F]http://whitelist.kaspersky.ru/advisor-ru#search/3AD208BF849C05D861DFA8D26D23184F[/URL]
[URL=http://whitelist.kaspersky.ru/advisor-ru#search/9ED990892989FA5A04B14BBBFEA275A4]http://whitelist.kaspersky.ru/advisor-ru#search/9ED990892989FA5A04B14BBBFEA275A4[/URL]