2 вопроса - про вирлаб и трояны-шифровальшики

[j.bonzo]

...антивирус не виноват, любой пропускает новейшие угрозы.

ИМХО
В контексте этого не вижу никакого смысла пользоваться платными антивирусными решениями. Сэкономленные средства лучше направить на приобретение недорогого и емкого внешнего устройства для хранения данных, т.к. трояны-шифровальщики постоянно расширяют целевой список файлов, которые они способны зашифровать.
http://www.securitylab.ru/news/471999.php
"Исследователи компании Bromium Labs обнаружили новый образец трояна-вымогателя... Отличие вредоноса, получившего название TeslaCrypt, состоит в том, что помимо традиционного ассортимента файлов, на которые обычно нацелено подобное ПО, данная версия шифрует видеоигровые файлы и связанное с играми программное обеспечение. Как правило, такие файлы содержат профили игроков, сохраненные игры, карты, режимы и пр.
Более того, TeslaCrypt зашифровывает даже файлы iTunes, чего до сих пор не делал ни один кибервымогатель. В общем, отмечают специалисты Bromium, вредонос таргетирует порядка 185 файловых расширений."

Программы для резервного копирования системы и данных тоже можно получить бесплатно. Например, относительно недавно проводились промо акции от Paragon и AOMEI на comss.ru promo

[REDACTED]

ИМХО
В контексте этого не вижу никакого смысла пользоваться платными антивирусными решениями.

От платных польза есть всё-таки. В ноде, касперском можно посмотреть, когда программа появилась в облаке. Если появилась сегодня - то лучше не рисковать. Можно на virustotal заливать файлы всё время (если нет антивируса, или антивирус не предоставляет эту информацию), но это неудобно.

Было бы хорошо, если бы аваст тоже предоставлял информацию - когда файл в облаке появился, сколько людей запускали. И предупреждал, что файл появился в облаке сегодня. Такой вариант можно рассматривать для борьбы с новейшими шифровальщиками (и другими вредоносными программами) в авасте ?

В усиленном режиме в интерфейсе если добавить кнопочку "предупреждать или блокировать программы, которые появились в облаке сегодня" - зараженных машин меньше станет, как думаете ?

Avast пишет, что усиленный режим предотвратил запуск программы (без подробностей) - такая информация пользы не дает, на мой взгляд. Я даже не знаю, когда файл появился в облаке (можно, конечно, на virustotal залить). А если файл более 128 мегабайт ?

Нужен ли вообще антивирус, платный или бесплатный - я думаю сильно зависит от того, чем занимаются за конкретным компьютером и какая информация там хранится (предоставляет ли она интерес для злоумышленников) .

[j.bonzo]

...можно посмотреть, когда программа появилась в облаке. Если появилась сегодня - то лучше не рисковать.

Можно посмотреть... Можно не посмотреть...
http://forum.kaspersky.com/index.php?showtopic=317646
"...зловред успел зашифровать множество папок с файлами."
По-моему UDS это детект по базе KSN.

[REDACTED]

Интересно, пробовал ли кто-то отключать работу скриптов в win'7 и старше?
Дело в том, что аваст хорошо блокирует бинарные файлы агрессивным режимом.
Остаётся дыра - cmd, vbs и прочее. Если отключить возможность запуска скриптов, то дыра закрывается. Но наверняка это скажется на работе системы? Например, сможет ли навредить процессу обновления системы?

[REDACTED]

...можно посмотреть, когда программа появилась в облаке. Если появилась сегодня - то лучше не рисковать.

Можно посмотреть... Можно не посмотреть...
http://forum.kaspersky.com/index.php?showtopic=317646
"...зловред успел зашифровать множество папок с файлами."
По-моему UDS это детект по базе KSN.

Почитал на форуме ЛК - оказывается если в настройках Мониторинга активности стоит
- "Завершать активность вредоносной программы" - то откат не выполняется и зашифрованные файлы из резервной копии не восстановятся, как я понял.
- Если стоит "Выбирать действие автоматически" - то какое решение примет антивирус - известно только разработчикам. Может он выберет "Завершать", а не "Удалять".
- Если стоит "Удалять" - то откат будет выполнен и все файлы должны быть восстановлены из резервной копии.

Видимо, защита от шифровальщиков гарантированно работает, если в настройках заранее поставить "Удалять вредоносную программу" и "Выполнять откат" . С настройками по умолчанию, похоже, может и не сработать автоматическое создание резервной копии такого файла до того, как он будет зашифрован вредоносной программой

[j.bonzo]

В приведенном мной примере, выполнился откат или не выполнился - это немаловажно, но, на мой взгляд, второстепенно. Первостепенно - облачный детект при отсутствии сигнатурного, т.к. в облако, если я не ошибаюсь, передается только хеш файла. Т.е. вредоносная программа, известная облаку, не имела сигнатуры в локальной антивирусной базе. В результате этого были зашифрованы папки и файлы. Не утверждаю, но как вполне возможный вариант, - не полные антивирусные базы, которые используются в продуктах ЛК с настройками по умолчанию.

http://kaspersky.antivirus.lv/rus/downloads/extra
"Расширенные наборы баз
Постоянно использовать расширенный набор антивирусных баз мы рекомендуем только опытным пользователям/системным администраторам, понимающим принципы работы потенциально опасного программного обеспечения, сигнатуры которого находятся в данном наборе антивирусных баз. Мы не рекомендуем начинающим пользователям использовать расширенный набор антивирусных баз."
Оттуда ссылка на другую страницу с описанием того, что дополнительно включено в расширенный набор:
http://support.kaspersky.ru/viruses/general/664#block5

"Существуют различные легальные программы, которые могут быть использованы при хакерских атаках и представляют потенциальную опасность для компьютера, на котором установлены. Такие программы называются потенциально опасными. Все потенциально опасные программы Лаборатория Касперского классифицировала следующим образом:
1. Adware
 2. Riskware
 3.Pornware
 4. Альтернативные классификации:
Помимо указанных выше категорий потенциально опасных программ существуют другие категории, как Crimeware, Spyware, Ransomware, Botnets."

По-моему, вполне логичным выводом из этих двух статей будет:
сигнатуры для определения программ-вымогателей (ransomware) не включены в антивирусные базы, используемые по умолчанию, т.е. безопасность принесена в жертву быстродействию.

[REDACTED]

Вы неправильно поняли   

http://securelist.ru/threats/alternativnye-klassifikacii-detektiruemyx-obektov/#ransomware
Программы Ransomware являются подмножеством Malware — вредоносными программами.

Ransomware не является потенциально опасной, она вредоносная.

Быстродействие тут ни при чем по-моему. Обнаружение потенциально опасных программ отключено для того, чтобы начинающий пользователь, увидев сообщение "программа может причинить вред", не удалил эту программу. Ещё подумает, что у касперского паранойя, или ложное срабатывание. Видел на форумах такие сообщения, пользователям не нравиться , когда антивирус что-то подозревает.

 Например, антивирус пишет "обнаружено not-a-virus, или adware, или hacktool", пользователь пишет, например на форуме "У меня антивирус нашел вирус, помогите" . То есть даже не читают, что пишет антивирус, просто видят, что антивирус ругается.

Недавно видел в ответах mail.ru вопрос "Скачал драйверы для видеокарты с официального сайта, Доктор веб нашел троян . Откуда там троян, с официального сайта скачено". Скриншот есть, а там написано "Возможно Trojan".

В авасте тоже обнаружение ПНП отключено по умолчанию.

[j.bonzo]

Этот тест делал я и могу сказать, что сейчас начиная с версии 15.0.2.361 заразить машину шифратором очень сложно даже если базы вы не обновите и KSN в антивирусе будет отключен. Антивирус просто съедает шифратора и делает откат изменений сделанных шифратором, да пару файлов антивирус может не откатить...

Новый тест от mike1
https://www.youtube.com/watch?v=y6AICbIc-OM
Новые выводы...
http://forum.kaspersky.com/index.php?s=&showtopic=311072&view=findpost&p=2400402
"Краткий вывод:
Защита от шифраторов работает, но полагаться на нее особо не стоит. В некоторых случаях откат действий шифратора может не отработать и тогда файлы окажутся зашифрованными..."
http://forum.kaspersky.com/index.php?s=&showtopic=311072&view=findpost&p=2401383
"По моему мнению полноценный бекап всегда будет лучше любой хитрой защиты которая может облажаться."