Перейти к содержимому


Фото
* * * * * 1 Голосов

нет ли у Dr.Web 100 % защиты от вирусов-шифровальщиков


  • Закрыто Тема закрыта
90 ответов в этой теме

#1 Mosiagin

Mosiagin

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 19 Февраль 2012 - 21:34

насколько знаю против winlock есть запрет изменения важных файлов windows
и запрет низкоуровневой записи
а что антивирус может предложить кроме сигнатурного анализа?

#2 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 19 Февраль 2012 - 21:38

что есть "100 % защиты от Trojan.Packed", объясните, пожалуйста. Пока ничего не понятно.

#3 Mosiagin

Mosiagin

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 19 Февраль 2012 - 21:42

защита от любых видов шифровальщиков еще не находящихся в базах антивируса ?

#4 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 19 Февраль 2012 - 21:44

новый алгоритм флайкода :)

>защита от любых видов шифровальщиков еще не находящихся в базах антивируса ?

каким образом?

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#5 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 822 Сообщений:

Отправлено 19 Февраль 2012 - 21:46

100% защиты не бывает.

Trojan.Packed - это ведь закриптованные вирусы. Вирусописатели криптуют вирусы, чтобы антивирусы не видели уже известные вирусы.

У DrWeb есть против этого технология FLY-CODE

:)

UPD: Уже опередили :)

Сообщение было изменено RomaNNN: 19 Февраль 2012 - 21:47

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#6 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 19 Февраль 2012 - 21:52

защита от любых видов шифровальщиков еще не находящихся в базах антивируса ?

1. вопрос совершенно не связан с названием темы. причем здесь Trojan.Packed ?
2. нет, 100% защиты от неизвестных шифровальщиков нет ни у кого, и я даже в теории не представляю, как это можно сделать...
Хотя нет, представляю - завести базу чистых файлов, и детектить все подряд, чего там нет.
http://forum.drweb.com/index.php?showtopic=306226&view=findpost&p=567095
Вам такой способ нравится?

#7 Mosiagin

Mosiagin

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 19 Февраль 2012 - 21:59

То есть эвристика антивируса тут на данный момент бессильна?

#8 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 19 Февраль 2012 - 22:02

То есть эвристика антивируса тут на данный момент бессильна?

"бессильна" это сколько процентов детекта? 10%? 30%? 90%? очевидно, что 100% детекта неизвестных вирусов эвристика дать не может.

#9 Mosiagin

Mosiagin

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 19 Февраль 2012 - 22:10

тогда может в антивирусе реализовать Hips?
Правила программ например запрет удаления пользовательских данных(кроме папок program files и Windows) программами не имеющими цифровой подписи?

#10 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 19 Февраль 2012 - 23:04

Ну дык не нужно под админом сидеть и сандбокс можно поставить.
http://mrbelyash.blogspot.com/2012/01/sandboxie.html

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#11 pig

pig

    Бредогенератор

  • Helpers
  • 10 716 Сообщений:

Отправлено 19 Февраль 2012 - 23:24

Энкодеру на привилегии администратора пофиг должно быть. Пошифрует до чего дотянется :)
Почтовый сервер Eserv тоже работает с Dr.Web

#12 Mosiagin

Mosiagin

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 20 Февраль 2012 - 00:04

100 % защита от шифровальщиков это cделать еще 1-2 пункта к антивирусу рядом с такими функциями как
1) запрет изменения файла hosts
2) запрет изменения важных файлов windows
3) запрет низкоуровневой записи
добавить один из пунктов
1)Запрет удаления пользовательских данных (кроме папок program files и Windows) программами, не имеющими цифровой подписи?
2)Создать защищенную папку на каждом диске (с запретом в ней удаления и изменения файлов программами без цифровой подписи)

Второе кажется самое оптимальное для хранения важной конфиденциальной информации
В любом случае это относится к Hips технологиям проблема шифровальщиков будет решена полностью по своей природе

#13 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 20 Февраль 2012 - 00:06

1)Запрет удаления пользовательских данных

Родительский контроль - Локальный доступ - Доступ к файлам и папкам пользователя.

#14 Mosiagin

Mosiagin

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 20 Февраль 2012 - 01:25

1)Запрет удаления пользовательских данных

Родительский контроль - Локальный доступ - Доступ к файлам и папкам пользователя.



Родительский контроль это полностью блокировка доступа к данным а если с ними постоянно имеешь дело только постоянно отключать защиту не лучшее занятие
К тому же как только отключишь блокировку они тут же и зашифруются

#15 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 20 Февраль 2012 - 02:09

К тому же как только отключишь блокировку они тут же и зашифруются

Это как?

#16 Mosiagin

Mosiagin

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 20 Февраль 2012 - 03:37

Например если учитывать что Encoder в процессах еще не детектируемый антивирусом и пользователю необходимо посмотреть личное видео в защищенной ограниченной папке ему нужно снять ограничения папки чтобы его открыть, открывает видео и смотрит какое то время закрывает и видит что все файлы в защищенной папке зашифрованы

#17 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 822 Сообщений:

Отправлено 20 Февраль 2012 - 07:25

mosiaign, понимаете, тут нужно быть очень аккуратным чтобы не переусерствовать с фичами. Вы знаете, сколько программ использует папку Documents and Setting/Users и у которых нету цифровой подписи? А вы им сразу права на перезапись ограничиваете. Техподдержка не выдержит такого напора пользователей, которые в недоумении, почему некоторые программы перестали работать.

ИМХО, тут рулит HIPS и Sandbox. HIPS чтобы присекать массовое изменение данных неизвестным процессом (с запросом на разрешение), а Sandbox для того, чтобы антивирус, основываясь на анализе деятельности шифровальщика, запусккть его в изолированной среде с ограниченными правами и возможностью отката действий, сделанных вирусом.

Вот уже какой год ждем Spider Netting, где будет что-то подобное. Хотя может быть я не прав, т.к. кроме призрака неттинга по форуму больше ничего не ходит :P
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#18 Silver_klop

Silver_klop

    Member

  • Posters
  • 442 Сообщений:

Отправлено 20 Февраль 2012 - 11:03

А кто-нибудь может мне объяснить, какая взаимосвязь между Trojan.Packed и пакерами?

PS. 100 % Trojan.Packed, которые мне попадались, были ложняками

PPS. mosiaign, сколько пакеров вы встречали? сколько из них успели вам навредить?

Сообщение было изменено Silver_klop: 20 Февраль 2012 - 11:05


#19 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 20 Февраль 2012 - 11:30

PS. 100 % Trojan.Packed, которые мне попадались, были ложняками

Вы, конечно же, всех заслали в вирлаб?

#20 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 20 Февраль 2012 - 11:34

Правила программ например запрет удаления пользовательских данных(кроме папок program files и Windows) программами не имеющими цифровой подписи?

Круто взяли... Круче, чем я говорил про базу чистых файлов.
Вот например Total commander не имеет цифровой подписи. Не дадим ему ничего делать?
С другой стороны, есть трояны с цифровой подписью. Сюрприз?


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых