Почему теневые копии не спасают от большинства шифровальщиков29.08.2016 16:33

8b2c844fb423476d8819b81350793769.jpg

Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант — это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy, которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, — это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.

Существует ряд технологий, которые могут быть применены для остановки атак шифровальщиков: некоторые из них почти бесполезные, такие как сигнатуры или эвристика (это первое, что проверяют авторы вредоносных программ перед их «релизом»), другие иногда могут быть более эффективными, но даже сочетание всех этих техник не гарантирует, что Вы будете защищены от всех подобных атак.

Более 2 лет назад в антивирусной лаборатории PandaLabs применили простой, но достаточно эффективный подход: если какой-то процесс пытается удалить теневые копии, то, скорее всего (но не всегда, кстати), мы имеем дело с вредоносной программой, и вероятнее всего — с шифровальщиком. В наши дни большинство семейств шифровальщиков удаляют теневые копии, т.к. если этого не делать, то люди не будут платить выкуп, раз они могут бесплатно восстановить свои файлы. Рассмотрим, сколько инфекций было остановлено в нашей лаборатории благодаря такому подходу. Логично предположить, что это количество должно расти в геометрической прогрессии, т.к. количество атак шифровальщиков, использующих этот прием, также стремительно растет. Вот, например, количество атак, которые мы заблокировали за последние 12 месяцев с помощью нашего подхода:

22e688dcfff848c6a1d1f5797251d995.png

Но на диаграмме мы видим прямо противоположное тому, что ожидали. Как такое возможно? На самом деле, такому «феномену» есть очень простое объяснение: мы используем данный подход как «последнее средство», когда никакие другие техники безопасности не смогли обнаружить ничего подозрительного, а потому срабатывает данное правило, которое и блокирует атаку шифровальщика. Данный подход мы используем еще и для внутренних целей, в результате чего мы можем проанализировать более детально те атаки, что были заблокированы на «последнем рубеже», и потом улучшить все предыдущие уровни безопасности. Мы также используем данный подход для оценки того, насколько хорошо или плохо мы останавливаем шифровальщиков: другими словами, чем ниже значения, тем лучше работают наши основные технологии. Так что, как Вы можете видеть, эффективность нашей работы повышается.

Автор статьи: Луис Корронс

Комментарии (7)

  • 29 августа 2016 в 12:39

    +3

    А какой суммой Вы готовы гарантировать защиту данных Вашим антивирусом?

    • 29 августа 2016 в 12:53

      –1

      В соответствии с Лицензионным соглашением с конечным пользователем мы предлагаем ограниченную гарантию, которая не превышает стоимости лицензий продукта.
      Это общая практика.

  • 29 августа 2016 в 14:03

    +1

    >Но на диаграмме мы видим прямо противоположное тому, что ожидали.
    , а ось x в чем измеряется, сейчас мы просто видим временную шкалу с вертикальными черточками

  • 29 августа 2016 в 14:41 (комментарий был изменён)

    +4

    Почему теневые копии не спасают от большинства шифровальщиков?
    Потому что (цитата) «первое, что они (шифровальщики) делают при заражении Вашего компьютера, — это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации».
    Собственно, это и есть содержательная часть статьи.
    Остальное — не очень объёмное (к счастью) напоминание о том, что есть такая компания Panda Security, и она делает антивирусы, которые по её мнению становятся всё лучше и лучше.
    Понятно, что корпоративный блог, и всё такое —, но хорошо бы к маркетингу прикладывать немного интересных технологий, ну или юмора на худой конец.

    • 29 августа 2016 в 15:05

      0

      прям с языка сняли

    • 29 августа 2016 в 15:20

      0

      Тут еще есть два нюанса. 1. Не все трояны удаляют теневые копии. 2. Для выполнения команды удаления копии нужно обладать правами админа.

      • 29 августа 2016 в 15:25

        +1

        На счёт админа — понятно, но думаю что подавляющее число пострадавших от шифровальщиков работают как раз под админскими учётными записями.

© Habrahabr.ru