Задать вопрос

Кто умеет автоматически обнаруживать файловую активность, свойственную вирусу-шифровальщику?

Многие сейчас сталкиваются с проблемой шифровальщиков. Вкратце суть проблемы:
1. Шифровальщик использует для заражения социальный инженеринг, который обычному пользователю очень трудно отличить от реальной ежедневной активности. Например, если человек работает со счетами, ему приходит письмо, мол, пожалуйста оплатите счет во вложении
2. Шифровальщик не определяется антивирусом. У антивируса просто нет сигнатуры вируса на момент получения. Для каждой рассылки делается чуть ли не отдельная сборка вируса.
3. Шифровальщик шифрует все файлы на машине пользователя, и вымогает деньги за их расшифровку.

Короче... Мы столкнулись с тем, что никак не можем исключить заражение шифровальщиком, однако поразмыслив мы поняли, что само поведение шифровальщика должно быть шаблонным по определению. Т.е. он ведет себя примерно как поисковый сканер, обращается к большому количеству файлов в разных папках, удаляет файлы, создает новые файлы, работает только с файлами определенного типа и с файлами, имеющими определенную дату изменения (например только самые свежие файлы в первую очередь).
Одним словом всю эту активность можно проанализировать эвристическим методом и сделать вывод, что приложение ведет себя подозрительно. А потом принять меры. Далеко не каждое приложение будет вести себя подобным образом, это очень редкая форма активности. Можно блокировать целый класс приложений с нежелательным файловым поведением и корпоративных пользователей это устроит.

В общем возникает вопрос: если изложенная выше идея эвристики вообще-то достаточно очевидна, то наверняка кто-то уже реализовал этот механизм в своем антивирусном ПО. Слышали ли вы что-либо об антивирусах или утилитах подобного типа?
  • Вопрос задан
  • 1170 просмотров
Подписаться 6 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 9
gbg
@gbg
Любые ответы на любые вопросы
Наиболее надежным средством от криптовымогателей является версионное резервное копирование.

Наиболее простой способ это сделать - развернуть ownCloud (делается за 1 час с перекуром, обедом, и поболтать с коллегами) и настроить на нужных клиентах синхронизацию с облаком.

Заодно избавитесь от:
-ой, у меня файл потерялся!
-когда?
-да месяца два назад как из корзины стерла!
Ответ написан
eapeap
@eapeap
Сисадмин, Беларусь
Согласен с Армянское Радио :
Бизнес-информация живет на сервере, а не на компе юзера.
У Юзера есть право на запись только к ограниченному диапазону файлов, остальное он либо может только читать, либр вообще не видит.
Файлы синхронизуются с резервным диском (облаком, ...) с сохранением версий.
Доступа к резервному хранилищу у юзеров нет.
Как это реализовать - есть МОРЕ способов.
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
MastheadLogo.jpg
www.sandboxie.com
Полностью эмулирует файловую систему и реестр без риска для основной рабочей системы (не затрагивая файлы и реестр последней).
Приложение не "видит", что оно в песочнице, поэтому ведёт себя так, как обычно.
Можно что-то установить, поюзать и просто нажать "очистить" без всяких uninstall)
Богатые настройки каждой песочницы в отдельности.
Лучший вариант для спокойной работы.

Ставьте и настраивайте, чтобы был:
1. и/или запуск в "песочнице" для конкретных папок/процессов и т.д.,
2. и/или нормальный запуск только из выбранных папок и т.д.
Ответ написан
Комментировать
fox_12
@fox_12
Расставляю биты, управляю заряженными частицами
Системы вроде Tripwire, Samhain, OSSEC
Отслеживают изменение файлов путем сравнивания хешей файлов, заданных настройками программы, с данными у себя в закрытой БД.
Если файлы несанкционированно менялись - то никакой эвристики не надо.
Ответ написан
morgane
@morgane
analyse comportementale
Да запретите к чертям получение исполняемых файлов пользователям на почтаре, а все что такого рода приходит шлите себе на выделенный ящик для разбора, и при сомнениях пользуйтесь сервисом проверки.
Ответ написан
Комментировать
2ord
@2ord
Возможно, для шифровальщиков характерно следующее:
  • нацеливание на определённые типы документов
  • одновременное изменение хешей у большинства файлов в директории
  • повышение потребления ресурсов машины
Ответ написан
Комментировать
@ravil666
IT-специалист , КИПиА
и еще можно , через политики , разрешить запуск определенных исполняемых файлов (ехе) , типа ворд,ексель и тд и тп , нужное прописать в политиках , должно помочь.
Ответ написан
Комментировать
@lovecraft
>Никто. Шифровальщик не имеет каких-то явных отличий в активности, по которым его можно четко отличить от полезных программ.

Это, конечно, не так. Эвристика, надёжно детектирущая шифровальщики, есть - это измерение изменения степени упорядоченности файла в процессе записи. Во время шифрования упорядоченность файла существенно снижается, что позволяет детектировать шифровальщики. Так работает 11-й касперский и некоторое другие корпоративные антивирусы
Ответ написан
Комментировать
@Amigo-A
кто-то уже реализовал этот механизм в своем антивирусном ПО. Слышали ли вы что-либо об антивирусах или утилитах подобного типа?


Решения есть:
AppCheck Anti-Ransomware Solution
RansomFree by Cybereason

Описания на русском языке смотрите по ссылкам:
https://anti-ransomware.blogspot.ru/2017/01/appche...
https://anti-ransomware.blogspot.ru/2017/01/ransom...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы