32 ответов в этой теме

[Black_SOKOL]

Здравствуйте. Проактивная защита, не сработала при тестировании вашего АВ, данной утилитой, а это значит от шифровальщика нулевого дня не поможет, да и от любого, который нет в вашей базе. Данную утилиту можно скачать здесь: https://www.comss.ru/page.php?id=3594 Можете сами протестировать.

Сообщение было изменено Black_SOKOL: 13 Июнь 2017 - 15:42

[Konstantin Yudin]

мы предпочитаем оттачивать детекты на реальных угрозах а не подстраиваться под синтетику. во втором нет ни какого смысла.

[Konstantin Yudin]

мы постоянно дорабатываем детекты энкодеров, держим в тонусе алгоритмы на сколько хватает сил. но мы не сообщаем при выходе апдейта о этих достижениях, хотя доработки присутствуют практически в каждом апдейте.

[Ivan Korolev]

А зачем писать какую-то самопальную утилиту, которая будет с неизвестной точностью воспроизводить атаки, если можно взять реального шифровальщика?

[Konstantin Yudin]

чтоб впарить свою софтину за деньги потом. там все есть на сайте. давно уже смотрели ее

[riaman]

Я на хакер.ру статью читал, где ни один антивирус с настройками по умолчанию не нашёл самописного шифровальщика. И автор статьи говорил, что шифровальщика тяжело отделить от обычной программы.

[Aleksey Tarakhti]

Здравствуйте. Проактивная защита, не сработала при тестировании вашего АВ, данной утилитой, а это значит от шифровальщика нулевого дня не поможет, да и от любого, который нет в вашей базе. Данную утилиту можно скачать здесь: https://www.comss.ru/page.php?id=3594 Можете сами протестировать.

 

На сайте производителя указано:

"NOTE: Created for Windows-based workstations running Windows 7+. RanSim does not alter any existing files on disk.  As part of the simulation RanSim does enumerate all files on the local disk(s). For the purposes of encryption, simulated data files are downloaded from the Internet."

 

Они работают с файлами, которые сами и выкачивают. Настоящие энкодеры подобным не занимаются и шифруют имеющиеся у пользователя файлы на диске. Это не совсем адекватный тест защиты от шифрования, к сожалению.

[Aleksey Tarakhti]

Я на хакер.ру статью читал, где ни один антивирус с настройками по умолчанию не нашёл самописного шифровальщика. И автор статьи говорил, что шифровальщика тяжело отделить от обычной программы.

 

Можно ссылку на статью? Хочется покрутить этот самописный энкодер, если там семпл имеется.

[SergSG]

А зачем писать какую-то самопальную утилиту, которая будет с неизвестной точностью воспроизводить атаки, если можно взять реального шифровальщика?

Если взять реального, которого нет в базах Доктора, я затрудняюсь предсказать результат. А вы?

[Afalin]

Если взять реального, которого нет в базах Доктора, я затрудняюсь предсказать результат. А вы?

Непредсказуемый результат – неплохая цель для эксперимента.

[Konstantin Yudin]

А зачем писать какую-то самопальную утилиту, которая будет с неизвестной точностью воспроизводить атаки, если можно взять реального шифровальщика?

Если взять реального, которого нет в базах Доктора, я затрудняюсь предсказать результат. А вы?

Детект энкодеров не связан с базами с 9.1 версии

[riaman]

Я на хакер.ру статью читал, где ни один антивирус с настройками по умолчанию не нашёл самописного шифровальщика. И автор статьи говорил, что шифровальщика тяжело отделить от обычной программы.

Можно ссылку на статью? Хочется покрутить этот самописный энкодер, если там семпл имеется.

https://xakep.ru/2017/02/16/ransomware-x-test/
Да и вообще, можно свою простейшую программу написать (даже на делфи или вижал студии), чтоб шифровала файлы из моих документов хотя бы по типу байт+константа, и удаляла потом оригинальные файлы (только восстановить потом может не получиться файлы))). Засунуть её в автозапуск на другой комп (для чистоты эксперимента), перезагрузить его и смотреть, что будет...

[SergSG]

 

 

А зачем писать какую-то самопальную утилиту, которая будет с неизвестной точностью воспроизводить атаки, если можно взять реального шифровальщика?

Если взять реального, которого нет в базах Доктора, я затрудняюсь предсказать результат. А вы?

Детект энкодеров не связан с базами с 9.1 версии

 

Ну почему? Разве сэмлы тушек в базу не добавляют? Другое дело, что есть еще и реалтаймовые поведенческие алгоритмы, вот о них и речь.

[Konstantin Yudin]

От энкодеров тушки обычно приходят уже пост фактум, а чаще и вообще нет, если не через почту было заражение. Что то где то открыл и оно само все за шифровалось, или вообще ничего не делал, само, а гляняшь в логи и офигиваешь. Иногда диву даешься что делают юзеры чтобы запустить суслика и пароли вводят и распаковывают и запускают малварь с именами типа "запусти меня скорей.doc.exe". Самый работающий похоже вариант с запугиванием корпоративных сотрудников, с налоговой, суда, банка и т.п.

Сообщение было изменено Konstantin Yudin: 17 Июнь 2017 - 00:11

[Black_SOKOL]

Здравствуйте. Извините за отсутствие. Ни один антивирус 100% гарантий не даст, что шифровальщика увидит. Да и в каждом штамме шифровальщика немного меняется алгоритм. Найти конечно способ полной расшифровки. Там, кстати есть шифровальщик Locky, т.е. используют реального шифровальщика, но в таком виде, что не навредит системе. Да и эта программа рассчитана на поведенческую блокировку. На счёт юзеров, мне понравилось, как в Нортоне, если находит, то фиг выключишь защиту, пока программа не убедиться, что компьютер чист. Констанин, Возьмите на заметку данную фишку.

Сообщение было изменено Black_SOKOL: 19 Июнь 2017 - 22:29

[SergSG]

Ни один антивирус 100% гарантий не даст, что шифровальщика увидит.

Думаю, да. И все же, реальные несколько отличаются от лабораторных.

[Black_SOKOL]

Здравствуйте. Извините за отсутствие. Ни один антивирус 100% гарантий не даст, что шифровальщика увидит. Да и в каждом штамме шифровальщика немного меняется алгоритм. Найти конечно способ полной расшифровки. Там, кстати есть шифровальщик Locky, т.е. используют реального шифровальщика, но в таком виде, что не навредит системе. Да и эта программа рассчитана на поведенческую блокировку. На счёт юзеров, мне понравилось, как в Нортоне, если находит, то фиг выключишь защиту, пока программа не убедиться, что компьютер чист. Констанин, Возьмите на заметку данную фишку.

 

 

Ни один антивирус 100% гарантий не даст, что шифровальщика увидит.

Думаю, да. И все же, реальные несколько отличаются от лабораторных.

 

Да и считаю, что у антивируса, должен быть принцип, всё что неизвестно, запрещено, до того времени, пока, не будет вердикта или доверенное или вредоносное программное обеспечение.

[SergSG]

Да и считаю, что у антивируса, должен быть принцип, всё что неизвестно, запрещено, до того времени, пока, не будет вердикта или доверенное или вредоносное программное обеспечение.

Не все так просто. Алгоритмы постоянно правятся под реалии жизни. Да и неизвестных слишком много, чтобы все запрещать.

[VVS]

Да и считаю, что у антивируса, должен быть принцип, всё что неизвестно, запрещено, до того времени, пока, не будет вердикта или доверенное или вредоносное программное обеспечение.

Красивые слова... не более того...

Утрированно говоря, в выражении format c: format.exe отнюдь не является вредоносным программным обеспечением.

[Afalin]

т.е. используют реального шифровальщика, но в таком виде, что не навредит системе. Да и эта программа рассчитана на поведенческую блокировку.

Вы уж определитесь, поведенческой блокировки хотите или того, что будет реагировать на что-то с безвредным поведением.