Comments 17
«Ransomware набирает силы» — это не так. Число случаев падает, массовые эпидемии становятся редки. По сравнению, например, с 16-17 годами спад налицо.
Привет. Говорить про 2018 год пока рано, потому что любые эпидемии развиваются по синусоиде – всплеск/спад. Активность киберпреступников разнится от месяца к месяцу. Например, в начале 2018 года может наблюдаться некий спад, потому что плохие парни отдыхают, а к осени будет большой рост.

За 2017 год все отмечают рост, например www.forbes.com/sites/tonybradley/2018/01/31/ransomware-and-cryptomining-spiked-in-2017-according-to-report/#32fb23d87bff

www.spamtitan.com/blog/ransomware-growth-in-2017

Можно найти еще кучу подобных примеров. Так что, скорее, все-таки растет, чем падает.
Forbes не занимается расшифровкой в таких случаях, я занимаюсь уже много лет и знаю о чем говорю.
ISTR 23 видели? Гляньте: «Ransomware Prices Down, Disruption Up». Кол-во вредоносных вариков увеличилось на 46%, хотя сумма выкупа уменьшилась.
Увеличение числа семплов совершенно не означает увеличения числа случаев заражения. И даже не означает увеличения числа попыток заражения. Рассылка в 20 семплов на 20 млн адресов и 1000 семплов на 10000 адресов — совсем разные цифры, а увеличение «вредоносных вариков» даже не на 46%. Считать надо по числу случаев заражения
мы заказали опрос среди корпоративных пользователей… 62,5% вообще никогда не слышали о программах вымогателях. А это значит, что никакой защиты от них не применяется в принципе.


Выводы спорные. Зачем сотруднику офиса знать о разновидностях троянов? Нет, оно конечно не вредно, но в общем это дело системных администраторов/специалистов по ИБ. А с учетом выноса задач на аутсорс и страхования и руководство может ничего не знать о троянах — они наняли подрядную организацию, пусть у них голова болит. И то, что никакой защиты нет, тоже спорно — достаточно часто иконки агента защиты прячут, чтобы пользователь не лез в настройки, не пытался все отключить

Или опрашивали не пользователей, а администраторов?
Я сам лично столько раз попадал в разные неприятности в IT-сфере, что не привык надеяться на «дядю». Мой лично опыт такой что «мы наняли — они разберутся» заканчивается при первом же фейле либо печально, либо очень печально. Отвественность за потери там весьма условная.
> Проводите резервное копирование ВСЕХ важных данных на диск в облако
И с высокой долей вероятности данные в облаке тоже окажутся зашифрованы.
Автоматическая синхронизация данных в облако — зашифруй в N раз больше данных, чем обычно! Видел такие случаи…
Знаете, а я ведь говорил, что ваша ACtive Protection спорная штука, которая может начать мешать антивирусу. Так и оказалось, Norton Security несовместим с вашей штуковиной. Пришлось службу вырубить (отключение с GUI Acronis-а не помогает). Вы лучше реализуйте server-side защиту от резервного копирования испорченных файлов, чтобы я не волновался о том, что в облако зальются испорченные/зашифрованные файлы или не дай бог ими заменятся здоровые копии. На клиенте только 1 царь — встроенный или сторонний антивирус.
Давайте разберемся как именно не совестим. Мы тестировали внутри компании, все работает. Скорее всего, имеет место некое ложное срабатывание со стороны Symantec, наш продукт не делает ничего такого, чтобы антивирусы были с ним не совместимы.
Что касается сервер-сайд защиты: Windows-клиент защищен, откат занимает секунды, если не меньше. Чтобы зашифрованные копии залились в облако, синхронизация должна сработать в те доли секунды, пока несколько файлов зашифрованы (до срабатывания эвристик). Шанс, что такое произойдет, практически нулевой.
Нет срабатываний, можно выключить Norton (удалять и выгружать не пробовал) и проблема остаётся. Проблемы регулярно происходят у юзеров Symantec с IBM Rapport (он тоже якобы совместим, на Западе очень популярная программа, её банки советуют ставить), который транзакции защищает, дык постоянно возникают проблемы, вроде затихают проблемы, когда вендоры решат проблему совместно, а потом снова возникают и это не удивительно, ведь антивирус с течением времени модернизируется, не мала вероятность, что снова возникнет проблема, а страдают ведь юзеры и зачем им это? У Касперского на моей памяти со сканером MBAM такая же проблема, как у меня — виснет проводник.
Я к тому, что любое второе активное защитное ПО порождает проблемы если не в 100% случаев, не постоянно, то стабильно у кого-то из ваших юзеров периодически такое бывает и лучше не делать такую защиту. Мне что себе, что родителям пришлось отключить вашу защиту.
Т.е. вы опираетесь на защиту клиента, которую ряду клиентов выключать приходится, ну круто.
Защита — это в реализации всегда что-то крайне оригинальное и изощрённое, особенно если речь о поведенческих, самозащитных и анти-эксплойт технологиях.
Решил включить эту функцию снова у себя. Пока нет проблем, она сразу и не возникала, но пока нормально всё. Однако уже увидел какую-то явно ложную блокировку вашей технологией: «процессу rundll32.exe запрещён доступ к реестру».
А ещё я удалил свою резервную копию без ввода пароля от неё, просто нажал Удалить и всё. Из облака тоже данные удалились. Т.е. на изменение параметров резервной копии пароль нужен, а на удаление не нужен? Злоумышленник зайдёт на комп с RATа и спокойно почистит копии, если не будет UACа с паролем.
Доброго здоровья! Подскажите, а возможно ли сделать «мобильное приложение для восстановления компа»?

1) Допустим, есть комп, убитый до состояния «загрузочный сектор не найден», но диск должен быть живой.
2) Есть телефон с USB-oт-the-go, т. е. позволяющий напрямую подключать к себе флэшки.

По идее, телефон же может скачать образ диска-реаниматора и сделать загрузочную флэшку, позволяющую запустить комп и, возможно, исправить или восстановить разделы из бэкапа?

Если да — считайте это пожеланием к функционалу.
Удачи.
Отчего-то в опросе «делаю резервные копии» и "… в облако" противопоставлены. Интересно, почему?

Делаю резервные копии на разные носители, «в облако» (только в шифрованном виде) и нет, онлайн и оффлайн. Если говорить об инструментах, то BackupPC и Duplicati пока себя не опорочили.
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

4 December 2003

Location

Сингапур

Employees

1,001–5,000 employees

Registered

9 August 2008

Habr blog