90 ответов в этой теме

[Mosiagin]

насколько знаю против winlock есть запрет изменения важных файлов windows
и запрет низкоуровневой записи
а что антивирус может предложить кроме сигнатурного анализа?

[userr]

что есть "100 % защиты от Trojan.Packed", объясните, пожалуйста. Пока ничего не понятно.

[Mosiagin]

защита от любых видов шифровальщиков еще не находящихся в базах антивируса ?

[mrbelyash]

новый алгоритм флайкода

>защита от любых видов шифровальщиков еще не находящихся в базах антивируса ?

каким образом?

[RomaNNN]

100% защиты не бывает.

Trojan.Packed - это ведь закриптованные вирусы. Вирусописатели криптуют вирусы, чтобы антивирусы не видели уже известные вирусы.

У DrWeb есть против этого технология FLY-CODE



UPD: Уже опередили

Сообщение было изменено RomaNNN: 19 Февраль 2012 - 21:47

[userr]

защита от любых видов шифровальщиков еще не находящихся в базах антивируса ?

1. вопрос совершенно не связан с названием темы. причем здесь Trojan.Packed ?
2. нет, 100% защиты от неизвестных шифровальщиков нет ни у кого, и я даже в теории не представляю, как это можно сделать...
Хотя нет, представляю - завести базу чистых файлов, и детектить все подряд, чего там нет.
http://forum.drweb.com/index.php?showtopic=306226&view=findpost&p=567095
Вам такой способ нравится?

[Mosiagin]

То есть эвристика антивируса тут на данный момент бессильна?

[userr]

То есть эвристика антивируса тут на данный момент бессильна?

"бессильна" это сколько процентов детекта? 10%? 30%? 90%? очевидно, что 100% детекта неизвестных вирусов эвристика дать не может.

[Mosiagin]

тогда может в антивирусе реализовать Hips?
Правила программ например запрет удаления пользовательских данных(кроме папок program files и Windows) программами не имеющими цифровой подписи?

[mrbelyash]

Ну дык не нужно под админом сидеть и сандбокс можно поставить.
http://mrbelyash.blogspot.com/2012/01/sandboxie.html

[pig]

Энкодеру на привилегии администратора пофиг должно быть. Пошифрует до чего дотянется

[Mosiagin]

100 % защита от шифровальщиков это cделать еще 1-2 пункта к антивирусу рядом с такими функциями как
1) запрет изменения файла hosts
2) запрет изменения важных файлов windows
3) запрет низкоуровневой записи
добавить один из пунктов
1)Запрет удаления пользовательских данных (кроме папок program files и Windows) программами, не имеющими цифровой подписи?
2)Создать защищенную папку на каждом диске (с запретом в ней удаления и изменения файлов программами без цифровой подписи)

Второе кажется самое оптимальное для хранения важной конфиденциальной информации
В любом случае это относится к Hips технологиям проблема шифровальщиков будет решена полностью по своей природе

[SergM]

1)Запрет удаления пользовательских данных

Родительский контроль - Локальный доступ - Доступ к файлам и папкам пользователя.

[Mosiagin]

1)Запрет удаления пользовательских данных

Родительский контроль - Локальный доступ - Доступ к файлам и папкам пользователя.

Родительский контроль это полностью блокировка доступа к данным а если с ними постоянно имеешь дело только постоянно отключать защиту не лучшее занятие
К тому же как только отключишь блокировку они тут же и зашифруются

[SergM]

К тому же как только отключишь блокировку они тут же и зашифруются

Это как?

[Mosiagin]

Например если учитывать что Encoder в процессах еще не детектируемый антивирусом и пользователю необходимо посмотреть личное видео в защищенной ограниченной папке ему нужно снять ограничения папки чтобы его открыть, открывает видео и смотрит какое то время закрывает и видит что все файлы в защищенной папке зашифрованы

[RomaNNN]

mosiaign, понимаете, тут нужно быть очень аккуратным чтобы не переусерствовать с фичами. Вы знаете, сколько программ использует папку Documents and Setting/Users и у которых нету цифровой подписи? А вы им сразу права на перезапись ограничиваете. Техподдержка не выдержит такого напора пользователей, которые в недоумении, почему некоторые программы перестали работать.

ИМХО, тут рулит HIPS и Sandbox. HIPS чтобы присекать массовое изменение данных неизвестным процессом (с запросом на разрешение), а Sandbox для того, чтобы антивирус, основываясь на анализе деятельности шифровальщика, запусккть его в изолированной среде с ограниченными правами и возможностью отката действий, сделанных вирусом.

Вот уже какой год ждем Spider Netting, где будет что-то подобное. Хотя может быть я не прав, т.к. кроме призрака неттинга по форуму больше ничего не ходит

[Silver_klop]

А кто-нибудь может мне объяснить, какая взаимосвязь между Trojan.Packed и пакерами?

PS. 100 % Trojan.Packed, которые мне попадались, были ложняками

PPS. mosiaign, сколько пакеров вы встречали? сколько из них успели вам навредить?

Сообщение было изменено Silver_klop: 20 Февраль 2012 - 11:05

[userr]

PS. 100 % Trojan.Packed, которые мне попадались, были ложняками

Вы, конечно же, всех заслали в вирлаб?

[userr]

Правила программ например запрет удаления пользовательских данных(кроме папок program files и Windows) программами не имеющими цифровой подписи?

Круто взяли... Круче, чем я говорил про базу чистых файлов.
Вот например Total commander не имеет цифровой подписи. Не дадим ему ничего делать?
С другой стороны, есть трояны с цифровой подписью. Сюрприз?