2 вопроса - про вирлаб и трояны-шифровальшики

[REDACTED]

Включенный System Watcher (Мониторинг активности) не позволит зашифровать более трех файлов. После чего выполняется успешный откат...

http://forum.kaspersky.com/index.php?showtopic=311072&st=0&p=2328231&#entry2328231
"Восстановлено: 4 зашифрованных файла
Не восстановлено: 44 зашифрованных файла."

Что-то совсем не ахти. Антивирус смог восстановить файлы с расширением rtf. Возможно, в системе хранились предыдущие версии файлов rtf и потому их возможно было восстановить.

Этот тест делал я и могу сказать, что сейчас начиная с версии 15.0.2.361 заразить машину шифратором очень сложно даже если базы вы не обновите и KSN в антивирусе будет отключен. Антивирус просто съедает шифратора и делает откат изменений сделанных шифратором, да пару файлов антивирус может не откатить, но в Авасте такой защиты от дурака нет и наверное не будет.

[j.bonzo]

Этот тест делал я и могу сказать, что сейчас начиная с версии 15.0.2.361 заразить машину шифратором очень сложно даже если базы вы не обновите и KSN в антивирусе будет отключен. Антивирус просто съедает шифратора и делает откат изменений сделанных шифратором...

http://blog.kaspersky.ru/kriptolokery-ploxaya-novost/2302/
"Хорошие новости для пользователей Kaspersky Internet Security состоят в том, что мы блокируем все модификации CryptoLocker еще до запуска, поэтому не даем им шанса на захват системы."
Это цитата о предыдущей линейке продуктов ЛК.
От "не даем шанса" до "очень сложно". Наметился явный "прогресс".
Тест, который Вы делали используя образец Trojan-Ransom.Win32.Cryakl, сугубо синтетический.
https://securelist.ru/blog/issledovaniya/24070/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/
"Trojan-Ransom.Win32.Cryakl.bo был найден в одной из спам-рассылок, выполненной в уже знакомом стиле. Если получатель письма кликал по предложенной ссылке "Проверить информацию", то через редирект попадал на вредоносный сайт, откуда на его компьютер загружался архив Attachment.zip, содержащий файл Attachment.scr. Загруженный файл представлял собой дроппер, который устанавливал на компьютер жертвы сразу два зловреда – предназначенный для кражи паролей троянец Trojan-PSW.Win32.Ruftar (под именем winzip.exe) и интересующий нас шифровальщик Trojan-Ransom.Win32.Cryakl (под именем winrar.exe). "
Т.е. поделка, именующая себя антивирусом, на конкретном компьютере пропускает сразу три вредоноса разных семейств? Если к такой поделке "прикрутить" откат изменений она превратится в антивирус?
 
К тому же откат изменений вовсе даже и не совсем откат:

...да пару файлов антивирус может не откатить...

Действительно. Какая проблема? Файлы же не Ваши. Даже если, например, в эту пару попали файлы базы 1с и предприятие остается у разбитого корыта.

[REDACTED]

Т.е. поделка, именующая себя антивирусом, на конкретном компьютере пропускает сразу три вредоноса разных семейств? Если к такой поделке "прикрутить" откат изменений она превратится в антивирус?

А аргументы правоты своих слов привести можете, или это обычный треп с вашей стороны?

Действительно. Какая проблема? Файлы же не Ваши. Даже если, например, в эту пару попали файлы базы 1с и предприятие остается у разбитого корыта.

Знаете, защиту от дураков еще не придумали. Если человек дурак, его никакой антивирус не спасет. Кстати, в Авасте и такой защиты от дурака нет. Однако, есть интересная статья как можно настроить антивирус ЛК таким образом, что даже новый шифратор не сможет повредить файлы на дисках, но для такой настройки антивируса нужно немного мозгов и времени. Ах да, еще, в Авасте почему-то не горят желанием заниматься расшифровкой, когда ваш Аваст пропускает шифратор все дружно бегут за помощью в DrWeb или ЛК.

[REDACTED]

против шифровальщиков нужно использовать только резервное копирование, антивирусы тут не помогут. Все фокусы в хипсе по этому вопросу - ерунда, которая в 99% случаев будет только мешать легальных программам.

Например, облако mail ru дает 100 гб бесплатно. Главное, программу клиент облака удалить после резервного копирования (далее - через браузер).

Бесплатный Аваст + бесплатное облако = это эффективно и бесплатно в защите от шифровальщиков.
Конечно, желательно еще добавить резервное копирование на внешний жесткий диск. Но это не обязательно.

Еще немного знаний:
http://avhelp.livejournal.com/1668.html
http://avhelp.livejournal.com/1919.html

И все у пользователя будет замечательно. И не надо тратить деньги на платные антивирусы и прочее.

[REDACTED]

Все фокусы в хипсе по этому вопросу - ерунда, которая в 99% случаев будет только мешать легальных программам.

При умелых настройках ничего мешать не будет, но опять же тут нужно время и желание от того, кто настраивает антивирус. Все программы можно разделить на несколько групп в хипсе:

1. Доверенные
2. Ограниченные
3. Недоверенные

Группам 2 и 3 будут запрещены изменения, которые они будут совершать с файлами. Пользователь при необходимости может перенести программу из группы 2 самостоятельно в группу 1. 

[evilnw]

Пользователи, которые умеют делать правильные настройки или бэкап, обычно не сталкиваются с шифровальщиками, т.к. владеют правилами поведения в сети. ))

[j.bonzo]

А аргументы правоты своих слов привести можете, или это обычный треп с вашей стороны?

По манере вести диалог узнаю типичного фана (или модератора?) с форума ЛК. Может пойдем по порядку и начнем с Ваших "железных" аргументов?

...могу сказать, что сейчас начиная с версии 15.0.2.361 заразить машину шифратором очень сложно...

Т.е. у Вас два аргумента - "могу сказать" и "15.0.2.361". А до 15.0.2.361? Ой, забыл. Вы же сами делали тест, в котором восстановлено 4 из 48.

...ваш Аваст пропускает шифратор все дружно бегут за помощью в DrWeb или ЛК.

Во-первых: Аваст не мой. Я им не пользуюсь, но и не тролю.
Во-вторых: обычно чем пользуются, туда и "дружно бегут за помощью".
На этом форуме, по-моему, запросы пользователей Аваст на лечение от шифровальщиков равны 0.

[REDACTED]

По манере вести диалог узнаю типичного фана (или модератора?) с форума ЛК. Может пойдем по порядку и начнем с Ваших "железных" аргументов?

Вы же утверждаете, что Каспер полное Г, а не я, а потому аргументы правоты Ваших слов должны приводить Вы, а не я.

Т.е. у Вас два аргумента - "могу сказать" и "15.0.2.361". А до 15.0.2.361?

Если Вы не верите мне, то Вы можете это проверить на виртуальной машине. Базы можете вообще не обновлять у антивируса.

На этом форуме, по-моему, запросы пользователей Аваст на лечение от шифровальщиков равны 0.

Верно, но пользователи Аваста часто бегут на форум Касперского, либо на Вирусинфо. А когда я смотрю логи таких пользователей я часто вижу в них Аваст.

[j.bonzo]

Вы же утверждаете, что Каспер полное Г, а не я, а потому аргументы правоты Ваших слов должны приводить Вы, а не я.

Во-первых: я не указывал производителя антивируса (шапка загорелась?) и не употреблял словосочетание "полное Г".
Во-вторых: если Вы так сильно настаиваете, то
http://forum.kaspersky.com/index.php?showtopic=316090
У пользователя с КИС 2013 (отчет avptool_sysinfo)
"Были найдены и убиты два вируса:
- Trojan.Win32.Vimditator.gov
- not-a-virus:AdWare.Win32.DealPly.bt
Но все файлы успели зашифроваться и получили расширение .xavvcag"

А Trojan-Ransom.Win32.Onion обнаружен уже в процессе лечения?

Если Вы не верите мне, то Вы можете это проверить на виртуальной машине. Базы можете вообще не обновлять у антивируса.

Мне даром не надо антивирусные решения от ЛК, но, справедливости ради, это опять будет чистой воды синтетика, не отражающая возможности антивируса защищать компьютер в реальном времени.

Верно, но пользователи Аваста часто бегут на форум Касперского, либо на Вирусинфо. А когда я смотрю логи таких пользователей я часто вижу в них Аваст.

Бегло просмотрел логи на первых двух страницах (на данный момент) форума ЛК (раздел "Борьба с вирусами"). Во всех запросах на лечение от шифровальщиков не обнаружил  ни одного запроса от пользователей Аваста. Возможно единичные запросы были раньше. Но если бы была какая-то эпидемия с шифровальщиками у пользователей Аваста, то на этом форуме уже было бы весело.

[REDACTED]

Если Вы не верите мне, то Вы можете это проверить на виртуальной машине. Базы можете вообще не обновлять у антивируса.

Дата выпуска баз в KAV 2015 - 22 декабря 2014
Версия антивируса -  15.0.2.361

Файловый антивирус отключен, в KSN не учавствую

Шифровальщик этот https://www.virustotal.com/ru/file/cdaf240960ef6c5d9b81b9843bafaa56700e8fa848dca85cb401061d22f5ec27/analysis/

Если KAV в интернет может выйти, то он завершает работу шифровальщика (наверно, с помощью облака определяет, что это шифровальщик) . А если потом интернет отключить (антивирус надо полностью завершить и запустить снова) - никакой реакции от Мониторинга активности, он не завершает активность вредоносной программы.

Возможно, этот тест не совсем правильный, если шифровальщик есть в вирусной базе касперского, но в установленном антивирусе базы старые. С включенным интернетом Мониторинг активности как-то подозрительно быстро определяет вредоносную активность.

А с выключенным интернетом Мониторинг активности как-то не впечатлил.

[sergofun]

j.bonzo, подписываюсь под каждым словом. Как обычно, все четко, аргументированно и с конкретными примерами =)

[REDACTED]

Во-вторых: если Вы так сильно настаиваете, то

Привести пример с устаревшим антивирусом, который просто не способен бороться с новыми шифровальщиками очень разумно. Пример не убедительный т.к. защита от неизвестных шифровальщиков была добавлена начиная с 15 версии антивируса.

Но если бы была какая-то эпидемия с шифровальщиками у пользователей Аваста, то на этом форуме уже было бы весело.

Не думаю что сюда стали писать, потому что Аваст не занимается расшифровкой файлов.

А если потом интернет отключить (антивирус надо полностью завершить и запустить снова) - никакой реакции от Мониторинга активности, он не завершает активность вредоносной программы.

А вы в курсе, что большинство шифраторов не шифруют файлы без доступа в интернет?

[REDACTED]

На сайте ЛК написано, что антивирус создает копии файлов во время шифрования, но таких слов как  "всегда" "со 100 % гарантией", "при любых обстоятельствах" там нет .

Там не написано  "мы всегда и при любых обстоятельствах со 100 % гарантией блокируем все модификации CryptoLocker еще до запуска, поэтому всегда и при любых обстоятельствах со 100 % гарантией не даем им шанса на захват системы."

Еще там не уточняется что блокируем " все модификации CryptoLocker , которые есть в вирусной базе " или  " все модификации CryptoLocker, которых нет в вирусной базе" .

На сайте аваста тоже написано (и на любом сайте какого-либо антивируса) -

-Новая версия самого надежного антивируса
- Avast Premier гарантирует самый высокий уровень защиты, автоматизации и поддержки.
 - Онлайн-банкинг в безопасном виртуальном кабинете SafeZone
SafeZone позволяет совершать финансовые операции в безопасном кабинете, абсолютно исключающем возможность доступа извне.

Разумеется понятно, что каждая антивирусная лаборатория на своем официальном сайте заявляет, что именно их антивирус защищает лучше.

[j.bonzo]

Привести пример с устаревшим антивирусом, который просто не способен бороться с новыми шифровальщиками очень разумно. Пример не убедительный т.к. защита от неизвестных шифровальщиков была добавлена начиная с 15 версии антивируса.

Весь принцип работы защиты от неизвестных шифровальщиков состоит  в резервном копировании файлов, когда к ним пытается получить доступ подозрительная программа. Причем из этих копий даже последняя версия 15.0.2.361 (цифровая подпись от 20.02.2015) не восстанавливает все 100% файлов (с Ваших слов). Предыдущая версия, которую Вы тестировали, восстановила менее 10%.
http://www.anti-malware.ru/reviews/Kaspersky_Internet_Security_2013
"Мониторинг активности программ. Следит за активностью приложений, выявляет вредоносные программы, блокирует их и позволяет отменить опасные действия вредоносных программ, даже если они были совершены в течение предыдущей сессии."

http://support.kaspersky.ru/8057#block1
"Эвристический анализ. Применение технологии обновляемых эвристик (регулярно обновляемый набор шаблонов опасного поведения программ) позволяет при обнаружении нового вируса или новой модификации уже известного вредоносного ПО обновлять не весь модуль Мониторинга активности, а добавлять новый шаблон в базу эвристик и обновлять ее вместе с базами Лаборатории Касперского. Применение этой технологии позволяет блокировать другое вредоносное ПО со схожим поведением."

В общем, антивирусное решение с сигнатурной защитой, хипсом и эвристиком 05.02.2015 г. просто не заметило Trojan-Ransom.Win32.Onion и позволило зашифровать файлы на компьютере, хотя в статье от 24.07.2014 было заявлено:
"Продукты "Лаборатории Касперского" детектируют данную угрозу сигнатурно с вердиктами Trojan-Ransom.Win32.Onion.*, а неизвестные модификации – эвристически с вердиктом HEUR:Trojan.Win32.Generic и проактивно с вердиктом PDM:Trojan.Win32.Generic."
http://securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej/

Не думаю что сюда стали писать, потому что Аваст не занимается расшифровкой файлов.

А в ЛК, на данный момент, уже расшифровали хоть один файл, зашифрованный ассиметричным алгоритмом RSA?

[REDACTED]

На сайте ЛК написано, что антивирус создает копии файлов во время шифрования, но таких слов как  "всегда" "со 100 % гарантией", "при любых обстоятельствах" там нет .

100% гарантии в данном случае никто вам не даст, потому что любой антивирус лишь уменьшает риск заболеть. Но в Касперском хоть есть защита от дурака, в Авасте и этого нет. Вообще подобная защита сейчас есть только в решениях DrWeb и Kaspersky, но у каждого вендора реализация разная.

 

В общем, антивирусное решение с сигнатурной защитой, хипсом и эвристиком 05.02.2015 г. просто не заметило Trojan-Ransom.Win32.Onion и позволило зашифровать файлы на компьютере, хотя в статье от 24.07.2014 было заявлено

Если использовать устаревший антивирус, то максимальная защита не гарантирована. А вообще могли бы и пример этого привести.

А ЛК, на данный момент, уже расшифровало хоть один файл, зашифрованный ассиметричным алгоритмом RSA?

Конечно, например, одну из модификаций Xorist, который использует RSA. От Аваста я что-то никаких дешифраторов не видел. Да и не видел, чтобы они хоть что-то делали в плане расшифровки файлов. DrWeb и ЛК хоть что-то пытаются сделать, а Аваст в этом плане ничего не делает.