95 ответов в этой теме

[Anmawe]

В Касперском есть мониторинг активности , который по заявлению ЛК умеет обнаруживать процесс шифрования, завершать работу шифровальщика после того, как он зашифровал всего лишь 3-5 файлов, и восстанавливать файлы из резервной копии. До того, как файл зашифрован, создается резервная копия файла.

 

Хорошо бы добавить в Доктор веб Мониторинг активности (или что-то максимально похожее, с откатом действий вредоносной программы) . Как ЛК пишет, процесс шифрования обнаруживается по поведенческим сигнатурам. 

 

Предполагается ли появление такого компонента в докторе ? 

[Konstantin Yudin]

мониторинг активности у нас уже две версии существует. у нас детект на 6-10 файле.
в чем вопрос то? вы компетентны в функционале ЛК, чтобы можно по обсуждать тему предметно?

Сообщение было изменено Konstantin Yudin: 19 Март 2015 - 10:37

[VVS]

В Касперском есть мониторинг активности , который по заявлению ЛК умеет обнаруживать процесс шифрования, завершать работу шифровальщика после того, как он зашифровал всего лишь 3-5 файлов, и восстанавливать файлы из резервной копии. До того, как файл зашифрован, создается резервная копия файла.

 

Хорошо бы добавить в Доктор веб Мониторинг активности (или что-то максимально похожее, с откатом действий вредоносной программы) . Как ЛК пишет, процесс шифрования обнаруживается по поведенческим сигнатурам. 

Хорошо бы хоть немного ознакомиться с функционалом DrWeb, чтобы не предлагать реализовать то, что было реализовано ещё в прошлой версии.

Сообщение было изменено VVS: 18 Март 2015 - 23:20

[VVS]

в чем вопрос то? вы компетентны в функционале ЛК, чтобы можно по обсуждать тему предметно?

Надеюсь, что более компетентен, чем в том, что касается функционала DrWeb.

[RomaNNN]

Как ЛК пишет, процесс шифрования обнаруживается по поведенческим сигнатурам.

А в огороде бузина... (с)

[Anmawe]

у нас детект на 6-10 файле.

 

На вашем сайте и форуме не нашел подробное описание вашего мониторинга активности, делается ли откат.

 

http://products.drweb.ru/technologies/preventive_protection/ -  здесь про откат не написано.

 

1. Когда у доктор веба детект наступает на 6-10 файле, эти зашифрованные файлы так и останутся зашифрованными, или нет ? Восстановить эти файлы надо из защищаемых резервных копий, если была включена защита от потери данных? Я правильно понял?

 

На сайте ЛК написано 

 

 можно запросто восстановить систему до её оригинального, незараженного состояния . Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

 

Умеет ли ли антивирус Доктор веб делать вышенаписанное ?

Сообщение было изменено Anmawe: 02 Апрель 2015 - 15:59

[HHH]

1. Правильно

2. Не умеет и считает не нужным.

Сообщение было изменено HHH: 02 Апрель 2015 - 16:28

[mrbelyash]

Кстати реестр  ,можно ассоциации сменить.

А ну да, КЮ все равно похерит реализацию.

[provayder]

можно запросто восстановить систему до её оригинального, незараженного состояния . Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

сам проверял этот механизм, работает криво, из 10 шифрованных файлов - откатывается 2-3, остальные не читабельны

[RomaNNN]

2. Не умеет и считает не нужным.

Кто здесь? 

[SergSG]

 

2. Не умеет и считает не нужным.

Кто здесь? 

 

А что, умеет? Явно заявлений об этом нигде не встречал.

Хотя, было бы логично, но вот насколько реализуемо?

[VVS]

 

 

2. Не умеет и считает не нужным.

Кто здесь? 

 

А что, умеет? Явно заявлений об этом нигде не встречал.

Хотя, было бы логично, но вот насколько реализуемо?

 

Если сохранять каждый открываемый на запись файл, то параноидальный режим покажется сверхбыстым.

[SergSG]

 

 

 

2. Не умеет и считает не нужным.

Кто здесь? 

 

А что, умеет? Явно заявлений об этом нигде не встречал.

Хотя, было бы логично, но вот насколько реализуемо?

 

Если сохранять каждый открываемый на запись файл, то параноидальный режим покажется сверхбыстым.

 

Ну, на небольшие файлики еще можно копии делать, а вот на крупняк - врядли.

[IlyaS]

А можно научить превентивку блокировать удаление теневых копий?

[mrbelyash]

А можно научить превентивку блокировать удаление теневых копий?

 

можно, но через лет 5

А всего-то ключ реестра для начала.

[ShadowHat]

можно, но через лет 5

А всего-то ключ реестра для начала.

 

Хорошо, что не правкой .ini-файла

[Konstantin Yudin]

2. Не умеет и считает не нужным.

Кто здесь? 

А что, умеет? Явно заявлений об этом нигде не встречал.
Хотя, было бы логично, но вот насколько реализуемо?

Роман намекает на второй пункт.

А можно научить превентивку блокировать удаление теневых копий?

как это соотносится с защитой системы?

Кстати реестр  ,можно ассоциации сменить.
А ну да, КЮ все равно похерит реализацию.

чего? я тебя иногда вообще не понимаю. иногда получается... но чаще первое.

[Konstantin Yudin]

можно запросто восстановить систему до её оригинального, незараженного состояния . Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

сам проверял этот механизм, работает криво, из 10 шифрованных файлов - откатывается 2-3, остальные не читабельны

в 100% откат не возможен. такова архитектура ОС. там столько подводных камней, особенно с отложенной записью секций.

[Konstantin Yudin]

>можно запросто восстановить систему до её оригинального, незараженного состояния

да да да, бредни маркетологов. у них все просто и запросто. иди сначала контекст сопоставь с процессом, когда часть операций делается отложенно из ядра от лица системы...

Сообщение было изменено Konstantin Yudin: 03 Апрель 2015 - 00:27

[IlyaS]

А можно научить превентивку блокировать удаление теневых копий?

как это соотносится с защитой системы?

Шифровальщики давно уже выполняют vssadmin delete shadows до/после шифрования. Тогда возможно восстановление файлов из подходящей теневой копии. Ну а защита превентивки в том, чтобы пресечь удаление копий.