Кто умеет автоматически обнаруживать файловую активность, свойственную вирусу-шифровальщику?

Question

[binariti]

Многие сейчас сталкиваются с проблемой шифровальщиков. Вкратце суть проблемы:
1. Шифровальщик использует для заражения социальный инженеринг, который обычному пользователю очень трудно отличить от реальной ежедневной активности. Например, если человек работает со счетами, ему приходит письмо, мол, пожалуйста оплатите счет во вложении
2. Шифровальщик не определяется антивирусом. У антивируса просто нет сигнатуры вируса на момент получения. Для каждой рассылки делается чуть ли не отдельная сборка вируса.
3. Шифровальщик шифрует все файлы на машине пользователя, и вымогает деньги за их расшифровку.

Короче... Мы столкнулись с тем, что никак не можем исключить заражение шифровальщиком, однако поразмыслив мы поняли, что само поведение шифровальщика должно быть шаблонным по определению. Т.е. он ведет себя примерно как поисковый сканер, обращается к большому количеству файлов в разных папках, удаляет файлы, создает новые файлы, работает только с файлами определенного типа и с файлами, имеющими определенную дату изменения (например только самые свежие файлы в первую очередь).
Одним словом всю эту активность можно проанализировать эвристическим методом и сделать вывод, что приложение ведет себя подозрительно. А потом принять меры. Далеко не каждое приложение будет вести себя подобным образом, это очень редкая форма активности. Можно блокировать целый класс приложений с нежелательным файловым поведением и корпоративных пользователей это устроит.

В общем возникает вопрос: если изложенная выше идея эвристики вообще-то достаточно очевидна, то наверняка кто-то уже реализовал этот механизм в своем антивирусном ПО. Слышали ли вы что-либо об антивирусах или утилитах подобного типа?

Comments

[Ульрих]

Ну на самом деле маркетологи всех антивирей уверяют, что их антивири ловят эту заразу. А по факту видим огромное количество заражений

[binariti]

Ульрих: да, у нас антивирус научился ловить эту заразу уже через час после того, как компьютер пользователя был зашифрован полностью.

Answer 1

[Армянское Радио]

Наиболее надежным средством от криптовымогателей является версионное резервное копирование.

Наиболее простой способ это сделать - развернуть ownCloud (делается за 1 час с перекуром, обедом, и поболтать с коллегами) и настроить на нужных клиентах синхронизацию с облаком.

Заодно избавитесь от:
-ой, у меня файл потерялся!
-когда?
-да месяца два назад как из корзины стерла!

Comments

[binariti]

Вы видимо этой штукой пользуетесь, поэтому спрошу. Если каталог был зашифрован, то все файлы каталога будут повторно синхронизированы в облако. Часто шифровальщики меняют расширение файла, но допустим, шифровальщик не изменил расширение. В итоге мы получим, что в нашем облаке будет две версии файлов - не зашифрованная и зашифрованная. И если файл один, то проблемы нет, но если их много... Так вот вопрос: можно ли в ownCloud одним движением откатить все файлы каталога пользователя на предыдущую версию?

[Армянское Радио]

binariti: Очевидного способа это сделать нет, есть неочевидный - все версии файлов хранятся в файловой системе на сервере, в каталогах, повторяющих структуру пользовательской фс, просто к их именам дописывается таймштамп. Любой инструмент массового переименования сможет переименовать файлы на место - получите желаемое.

Answer 2

[Андрей Ермаченок]

Согласен с Армянское Радио :
Бизнес-информация живет на сервере, а не на компе юзера.
У Юзера есть право на запись только к ограниченному диапазону файлов, остальное он либо может только читать, либр вообще не видит.
Файлы синхронизуются с резервным диском (облаком, ...) с сохранением версий.
Доступа к резервному хранилищу у юзеров нет.
Как это реализовать - есть МОРЕ способов.

Answer 3

[xmoonlight]

www.sandboxie.com
Полностью эмулирует файловую систему и реестр без риска для основной рабочей системы (не затрагивая файлы и реестр последней).
Приложение не "видит", что оно в песочнице, поэтому ведёт себя так, как обычно.
Можно что-то установить, поюзать и просто нажать "очистить" без всяких uninstall)
Богатые настройки каждой песочницы в отдельности.
Лучший вариант для спокойной работы.

Ставьте и настраивайте, чтобы был:
1. и/или запуск в "песочнице" для конкретных папок/процессов и т.д.,
2. и/или нормальный запуск только из выбранных папок и т.д.

Answer 4

[Владимир Куц]

Системы вроде Tripwire, Samhain, OSSEC
Отслеживают изменение файлов путем сравнивания хешей файлов, заданных настройками программы, с данными у себя в закрытой БД.
Если файлы несанкционированно менялись - то никакой эвристики не надо.

Comments

[binariti]

Системы интересные, но похоже, что только для *nix

[Владимир Куц]

binariti: Я на *nix системах специализируюсь, поэтому привел их. У OSSEC вроде как и под виндовс агенты есть.
Гляньте аналоги - их должно быть немало.

Answer 5

[morgan]

Да запретите к чертям получение исполняемых файлов пользователям на почтаре, а все что такого рода приходит шлите себе на выделенный ящик для разбора, и при сомнениях пользуйтесь сервисом проверки.

Answer 6

[Everything_is_not_so_bad]

Возможно, для шифровальщиков характерно следующее:

• нацеливание на определённые типы документов
  
• одновременное изменение хешей у большинства файлов в директории
  
• повышение потребления ресурсов машины
  

Answer 7

[Равиль Шаймарданов]

и еще можно , через политики , разрешить запуск определенных исполняемых файлов (ехе) , типа ворд,ексель и тд и тп , нужное прописать в политиках , должно помочь.

Answer 8

[lovecraft]

>Никто. Шифровальщик не имеет каких-то явных отличий в активности, по которым его можно четко отличить от полезных программ.

Это, конечно, не так. Эвристика, надёжно детектирущая шифровальщики, есть - это измерение изменения степени упорядоченности файла в процессе записи. Во время шифрования упорядоченность файла существенно снижается, что позволяет детектировать шифровальщики. Так работает 11-й касперский и некоторое другие корпоративные антивирусы

Answer 9

[Amigo-A]

кто-то уже реализовал этот механизм в своем антивирусном ПО. Слышали ли вы что-либо об антивирусах или утилитах подобного типа?

Решения есть:
AppCheck Anti-Ransomware Solution
RansomFree by Cybereason

Описания на русском языке смотрите по ссылкам:
https://anti-ransomware.blogspot.ru/2017/01/appche...
https://anti-ransomware.blogspot.ru/2017/01/ransom...