Комментарии 5
НЛО прилетело и опубликовало эту надпись здесь
Плюс еще одна банальная мысль — делайте резервные копии и храните их offline.
И для большей части пользователей шифровальщики будут не страшны — у меня на настольном домашнем компьютере нет данных, обнародование которых было бы критично, а из образа он поднимается за полчаса. Даже если кто-то из домашних запустит — сильно не огорчусь.
PS: Насколько я понимаю, ощутимая часть шифровальщиков-вымогателей для шифрования использует встроенные средства ОС? И стремится выключить теневые копии?
Нельзя ли повесить оповещение и блокировку на вызов этих функций?
И для большей части пользователей шифровальщики будут не страшны — у меня на настольном домашнем компьютере нет данных, обнародование которых было бы критично, а из образа он поднимается за полчаса. Даже если кто-то из домашних запустит — сильно не огорчусь.
PS: Насколько я понимаю, ощутимая часть шифровальщиков-вымогателей для шифрования использует встроенные средства ОС? И стремится выключить теневые копии?
Нельзя ли повесить оповещение и блокировку на вызов этих функций?
Резервные копии – это больше про устранение последствий, нежели про предотвращение. Но напоминать об этом следует, что мы и сделали в самой статье. Однако, любое создание новой резервной копии сопряжено с риском попадания в неё и «спящего агента». Поэтому мест хранения копий в оффлайне может быть больше одного, с цикличной их сменой с каждым последующим бэкапом.
Использование встроенных средств ОС, вместо увеличения разнородной вредоносной нагрузки, “приносимой с собой”, значительно уменьшает риски обнаружения по уже известным сигнатурам компонентов антивирусами, поэтому большая часть разработчиков вредоносного ПО стремится использовать эту тактику.
Использовать триггер на выключение функционала теневого копирования в качестве одного из основных индикаторов компрометации (IoC) – это базовая идея для мониторинга конечных станций и серверов (и контролировать изменения признака, в этом случае, достаточно просто). Но блокировать его выключение совсем, не используя функционал решений по контролю и предотвращению изменений (Change Control), насколько нам известно, невозможно. При этом, решения такого класса – редкие гости в корпоративной среде, чаще их применяют в POS и банкоматах. Раньше были средства, встроенные в антивирусное ПО определённых производителей, которые позволяли выполнять функции оповещения и предотвращения по определённым IoC (изменения конкретных веток реестра, создания файлов в определённых областях и т.д.), но судьба этого функционала на данный момент нам неизвестна. Вероятно, в связи с малой его востребованностью (а жаль), он мог быть урезан в отношении доступа к настройкам и использоваться теперь только для «автоматического» предотвращения распространения уже известных эпидемий по характерным для них признакам последствий активности.
Использование встроенных средств ОС, вместо увеличения разнородной вредоносной нагрузки, “приносимой с собой”, значительно уменьшает риски обнаружения по уже известным сигнатурам компонентов антивирусами, поэтому большая часть разработчиков вредоносного ПО стремится использовать эту тактику.
Использовать триггер на выключение функционала теневого копирования в качестве одного из основных индикаторов компрометации (IoC) – это базовая идея для мониторинга конечных станций и серверов (и контролировать изменения признака, в этом случае, достаточно просто). Но блокировать его выключение совсем, не используя функционал решений по контролю и предотвращению изменений (Change Control), насколько нам известно, невозможно. При этом, решения такого класса – редкие гости в корпоративной среде, чаще их применяют в POS и банкоматах. Раньше были средства, встроенные в антивирусное ПО определённых производителей, которые позволяли выполнять функции оповещения и предотвращения по определённым IoC (изменения конкретных веток реестра, создания файлов в определённых областях и т.д.), но судьба этого функционала на данный момент нам неизвестна. Вероятно, в связи с малой его востребованностью (а жаль), он мог быть урезан в отношении доступа к настройкам и использоваться теперь только для «автоматического» предотвращения распространения уже известных эпидемий по характерным для них признакам последствий активности.
Интересная статья. Конечно в ней азы «чистоты», но иногда их стоит повторять тем, кто уже знает и конечно же узнать, тем, кто не слышал об этом.
Мнение профессионалов: все поступающие сообщения с просьбой перевести деньги — мошенничество.Гениально, а я то думал что тут может быть что-нибудь другое, меценатство например, а оно вон оно как. Умнейшие профессиАналы. Спасибо за кладезь мудрости.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как предотвратить проникновение программ-вымогателей: основные советы