Перейти к содержанию
Anmawe

Касперский защищает на 100 % ? Там пишут в blog.kaspersky.ru

Recommended Posts

Anmawe

Иными словами, пропуск сигнатурно известного шифровальщика для ЛК - норма?

 

Вы про совсем другие сигнатуры говорите ( про сигнатуру файла ?). Шифровальщики, которые есть в вирусной базе - конечно блокирует. Сергей Ильин говорил про поведенческие сигнатуры .

 

 

Файл есть в сигнатурах файлового антивируса или в каких?

 

Вы букву "в" не там поставили  :)  . В общем, абракадабру написали 

 

Вы хотели спросить "Есть ли сигнатура в файле и в вирусной базе и обнаруживает ли файловый антивирус угрозу ?" .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Сергей Ильин говорил про поведенческие сигнатуры

 

Да, я понял, что на некоторое количество троянов могут быть такие сигнатуры. Но речь же в основном о файлах, которые итак есть в базах файлового антивируса. Просто поведенческие сигнатуры могут и десяток файлов определять (упаковка разная, действие одно?).

 

З.Ы. Я написал именно то, что написал:)

А скажем если дистрибутив собирается каждые пару часов, то при установке антивируса на зараженную систему есть вероятность того, что угрозы ещё нет в базах (в самом дистрибутиве), но проактивная защита удалит его при запуске (до загрузки новейших баз).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Бороться с шифровальщиками стандартными файловыми сигнатурами - это полный бред. Злоумышленники генерят новый образец под каждую рассылку. Могут быть целенаправленные атаки. Естественно в антивирусных базах никаких сигнатур на новые шифровальщики не будет. А на старые их клепать уже постфактум нет никакого смысла, так как они уже отработали, поздно уже. Поэтому развитие защиты и пошло в сторону поведенческих сигнатур. Тем более здесь все более и менее просто, нужно лишь обнаружить процесс массового изменения/шифрования файлов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
 Естественно в антивирусных базах никаких сигнатур на новые шифровальщики не будет. А на старые их клепать уже постфактум нет никакого смысла, так как они уже отработали, поздно уже. 

 

К счастью для рядовых пользователей, есть оные и будут. Может, ЛК и станет исключением на беду своих ещё не разбежавшихся пользователей. Но то проблемы ЛК и пользователей её продуктов. А реальность такова, что чем сложнее вирусы, тем эффективней старые добрые сигнатуры, а вся так называемая проактивная защита - больше маркетинговое фуфло, чем реальная защита от чего-либо. При этом надо понимать, что так называемые импульсные обновления, которые есть в платном NIS и любом, в том числе и бесплатном, Авасте - это тоже те самые сигнатуры. И лучше них никто ничего пока что не придумал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

ANDYBOND , а зачем клепать сигнатуры, если шифровальщики каждый раз новые ? Вам же написали. Шифровальщики, которых нет в вирусной базе, файловый антивирус вряд ли обнаружит. Зачем вам старые добрые сигнатуры для борьбы с новыми шифровальшиками ?

 

Шифровальщики в базу заносятся, судя по отчетам на вирустотал.

 

Мониторинг активности , как написано на сайте ЛК  - до того, как файл будет зашифрован,  создается копия файла, потом Мониторинг активности после шифрования нескольких файлов "понимает", что это троян, завершает его работу и восстанавливает файлы из резервных копий. ANDYBOND, что вас не устраивает и почему считаете это маркетинговым фуфлом ?

  • Upvote 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

А реальность такова, что чем сложнее вирусы, тем эффективней старые добрые сигнатуры

 

Может так и выходит. Эффективность против чего-то древнего у проактивки конечно выше.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

ANDYBOND , а зачем клепать сигнатуры, если шифровальщики каждый раз новые ? Вам же написали. Шифровальщики, которых нет в вирусной базе, файловый антивирус вряд ли обнаружит. Зачем вам старые добрые сигнатуры для борьбы с новыми шифровальшиками ?

 

 

Дабы вменяемый антивирус не пропускал их. А KIS 2015 их пропускает и при наличии сигнатуры.

 

Шифровальщики в базу заносятся, судя по отчетам на вирустотал.

 

Естественно, заносят, ибо антивирусные компании тоже понимают, что нет ничего эффективней сигнатур на день сегодняшний. А полное это обновление баз, импульсное или чёрный список "облака" - это просто варианты реализации сигнатурного отлова и не более.

 

Мониторинг активности , как написано на сайте ЛК  - до того, как файл будет зашифрован,  создается копия файла, потом Мониторинг активности после шифрования нескольких файлов "понимает", что это троян, завершает его работу и восстанавливает файлы из резервных копий.

 

Как пишут на форуме ЛК (если темы ещё не уничтожены) "счастливые" пользователи KIS 2015, это маркетинговое фуфло восстанавливает максимум 4 файла, а с остальными приходится прощаться. Почему приходится восстанавливать? Да потому что KIS 2015 даже при наличии сигнатуры уверенно пропускает почти все шифровальщики! Чем доказывает свою невменяемость как антивируса.

 

ANDYBOND, что вас не устраивает и почему считаете это маркетинговым фуфлом ?

Вот по причинам выше и не устраивает. По ним же и считаю фуфло фуфлом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

@ANDYBOND,


К счастью для рядовых пользователей, есть оные и будут. Может, ЛК и станет исключением на беду своих ещё не разбежавшихся пользователей. Но то проблемы ЛК и пользователей её продуктов. А реальность такова, что чем сложнее вирусы, тем эффективней старые добрые сигнатуры, а вся так называемая проактивная защита - больше маркетинговое фуфло, чем реальная защита от чего-либо. При этом надо понимать, что так называемые импульсные обновления, которые есть в платном NIS и любом, в том числе и бесплатном, Авасте - это тоже те самые сигнатуры. И лучше них никто ничего пока что не придумал.

 

Ну да, а жигули шестерочка - самая крутая машина и к счастью ее еще можно купить на вторичном рынке. Да на ней еще Данилов картошку сажал на даче под питером :)

Поясните только откуда выводится корреляция чем сложнее вирусы, тем эффективней старые добрые сигнатуры. Сложность в чем измеряется?

 


Дабы вменяемый антивирус не пропускал их. А KIS 2015 их пропускает и при наличии сигнатуры.

 

Это вопрос к разработчикам -  бага это или фича. В сигнатурах смысла нет, если проактивка гарантированно отрабатывает.

 


Естественно, заносят, ибо антивирусные компании тоже понимают, что нет ничего эффективней сигнатур на день сегодняшний. А полное это обновление баз, импульсное или чёрный список "облака" - это просто варианты реализации сигнатурного отлова и не более.

 

Приведите пример хотя бы одной антивирусной компании из ТОП-10, которая "делает ставку на старые добрые сигнатуры" и понимает "что нет ничего эффективней сигнатур". Очень интересно!

 

А то пацаны не знают, разрабатывают новые технологии, HIPS, белые списки, репутация, внедряют сложную логику.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Поясните только откуда выводится корреляция чем сложнее вирусы, тем эффективней старые добрые сигнатуры. Сложность в чем измеряется?

 

Да в чём хотите, измеряйте сложность вируса. :) Я, например, по его вредоносности сужу. Но к вопросу о корреляции. Если отстать от слов "старые" и "добрые", ибо, конечно, нужны свежие, актуальные сигнатуры, то сигнатуры на день сегодняшний - единственный гарантированный способ недопущения вируса на компьютер или иное устройство. 

 

А то пацаны не знают, разрабатывают новые технологии, HIPS, белые списки, репутация, внедряют сложную логику.

 

Да. Но даже Симантек, которые всё время своего существования активно занимались разработками в области искусственного интеллекта, не отказались от импульсного обновления сигнатур, ибо всякие СОНАРы и ХИПСы - это, конечно, здорово, но блокирнуть дроппера по сигнатуре (и предотвратить заражение тем же шифровальщиком) - наиболее надёжно. Не говоря уж об Авасте, который довёл технологию импульсных обновлений баз до совершенства. На втором месте по нужности и эффективности идут эмуляторы (эвристики) в файловых, почтовых и веб-антивирусах. А всякие СОНАРы и ХИПСы как шли, так и идут на последнем месте по значимости, ибо, пока они пытаются поумнеть, появились так называемые облачные технологии доставки, да-да, старых добрых сигнатур, и в итоге от "облака" всё равно толку больше, чем от СОНАРов и ХИПСов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А ничего что сигнатура создается когда вредонос уже давно путешествует по компьютерам жертв и во всю шифрует файлы? Это такой вариант вы называете наиболее надежным?

 

Вот именно с шифровальщиками сигнатуры наиболее бесполезны. Криптор уже отработал и все, он больше не нужен. Детект на него добавить можно исключительно из коллекционных соображений или же для бесполезных тестов AV-Comparatives.org

 

Ровно 10 лет назад уже шли разговоры об отказе от сигнатур. И знаете почему их еще делают? Почему пишут, например, 

Trojan.Win32.Agent.il, а не пишут просто Trojan.Win32.Generic? Да просто чтобы ответить на вопрос: "А что это было?". Ни для чего другого "старые добрые сигнатуры" давно не нужны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Как пишут на форуме ЛК (если темы ещё не уничтожены) "счастливые" пользователи KIS 2015, это маркетинговое фуфло 

 

 

А где написано, что они использовали KIS KAV 2015 ? Я вижу темы "файлы зашифрованы", а какой антивирус стоял - не пишут.

 

Покажите тему, где написано, что

- стоял KIS KAV 2015, базы были свежие

- и мониторинг активности не отключали

- и не все файлы были восстановлены после шифрования. 

 

Прямые доказательства того, что касперский 2015 не восстановил зашифрованные файлы, у вас имеются, ANDYBOND ? Есть такая тема на форуме ЛК ? Созданная в 2015 году.

 

Лично я доказательств не видел.

 

Кстати, а почему вы считаете, что в этих темах пишут "счастливые" пользователи KIS KAV 2015 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Очевидно, что он пытается доказать что новая технология ЛК не работает. Так как защита от шифровальщиков есть только в нескольких продуктах, и всякое бесплатное г..но и антивирусы третьего эшелона явно не в их числе :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

А ведь можно сделать проще: пойти на хак форума и сбилдить себе шифровальщика, ну или даже самому закодить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

TrueCrypt в качестве недоверенного приложения с запуском на шифрование папки с документами при запущенном KIS 2015 не подойдет в качестве теста? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко
пример хотя бы одной антивирусной компании из ТОП-10

 

А кто нынче ТОП-10 (кроме Каспера, Бита и Аваста)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Kaspersky Internet Security 2015 автоматически создает резервную копию такого файла до того, как он будет зашифрован вредоносной программой-криптором

 

Там не уточняется, с какой гарантией он создает копию файла - со 100 %, или с 99 % , всегда ли и при любых ли обстоятельствах, при запуске любого шифровальщика.

 

Понятно, что на официальном сайте не будут писать "Почти всегда защищает, почти всегда создает копию файла, с 99 %, со 100 % гарантией создает копию файла" .  

 

Маркетинговым фуфлом это нельзя назвать, я думаю - там просто написано "создает копии файлов, делает успешный откат" . Там ведь не написано "всегда и со 100 % гарантией создает копии" .

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

А ничего что сигнатура создается когда вредонос уже давно путешествует по компьютерам жертв и во всю шифрует файлы? Это такой вариант вы называете наиболее надежным?

Да, это наиболее надёжный и гарантированный способ прекратить распространение любого вируса.

 

Кстати, пожалуйста, не вводите неграмотных людей в заблуждение о шифровальщиках: на сам шифровальщик редко кто сигнатуру пишет (ибо это либо автомат, либо дурак), а вот блокировать средство доставки (как то дроппер) - первейшее дело сигнатуры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

пойдет, только запускать надо не руками, а сделать файл, где в ресурсах трукрипт, при запуске он дропается, начинает шифровать... но эксперимент грязноват будет, itw не встречался вроде, а вот использование арсенала bat.scatter вполне интересно :)

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ни Энди, ни Anmawe не осилили прочесть даже моё описание в пару строчек. Людям, которые не прочли две строчки вы ничего не объясните.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А кто нынче ТОП-10 (кроме Каспера, Бита и Аваста)?

 

 

 

Придерживайтесь темы дискуссии. Если интересует рынок - поищите здесь или создайте там новую тему

https://www.anti-malware.ru/forum/index.php?showforum=64

Да, это наиболее надёжный и гарантированный способ прекратить распространение любого вируса.

 

Распространение кого где? Шифровальщик уже попал в систему и отработал. Его функция завершена. Вы знаете червей с функцией шифрования?

 

на сам шифровальщик редко кто сигнатуру пишет (ибо это либо автомат, либо дурак), а вот блокировать средство доставки (как то дроппер) - первейшее дело сигнатуры.

 

Тогда я не понимаю, мы о шифровальщиках говорим и о их пропуске или о дропперах. Мне кажется вы запутались.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Вы знаете червей с функцией шифрования?

 

 

Не спора, а правды ради: на ум сразу приходит virlock - "превращал" зашифрованные файлы в ехе-файл и scatter - делал рассылку скрипта в архиве под паролем по контактам. Но это не означает, что я высказал аргумент в споре за или против. Просто сообщил информацию - нечто похожее на червяка.

  • Upvote 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

@priv8v, именно это я и имел ввиду. Прецеденты/концепты какие-то есть, но такой сценарий явно нельзя назвать массовым.

 

Даже с этим допущением совершенно непонятно что имел в виду @ANDYBOND под прекращением распространения при помощи файловых сигнатур. Если вредонос отработал, то он уже все зашифровал, переименовал, разослал и возможно самоликвидировался. Что даст сигнатура в этом случае?

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Сигнатура на средство доставки шифровальщика не допустит попадание шифровальщика на иные компьютеры, таким образом, его распространение прекратится. Сигнатура на сам шифровальщик обеспечит убиение шифровальщика при попытке попасть на компьютер, таким образом, его распространение прекратится. А уже пострадавшим никто не поможет в любом случае.

 

Тогда я не понимаю, мы о шифровальщиках говорим и о их пропуске или о дропперах.

 

К слову, наделавший много шума XTBL-шифровальщик "мочится в сортире" именно по дропперу: антивирусные компании, не сговариваясь, именно так с ним борются на день сегодняшний: сигнатурно детектится не сам шифровальщик, а дроппер, который обживается в ОС, устанавливает необходимые сетевые связи, и потом, по сигналу со своего сервера, загружает и запускает сам шифровальщик, который потом сам и уничтожает по итогам его работы. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

 

Да, это наиболее надёжный и гарантированный способ прекратить распространение любого вируса.

 

Наиболее надежный - при установке антивируса, сам антивирус будет требовать, чтобы пользователь сделал резервные копии, если их нет. Пользователи будут делать резервные копии, и пострадают только те, кто не сделал бэкап (уже по их вине, антивирус предлагал сделать бэкап) .

 

У кого уже стоит антивирус - напомнить, что надо сделать резервные копии, пока троян не зашифровал файлы.

 

Хорошая ли эта идея, если антивирус сам будет напоминать о резервном копировании и уведомлять об угрозе под названием "троян-шифровальщик" ?

 

Может, кому-то требование не понравится, но зато потом, когда троян файлы зашифрует, пользователь скажет "хороший антивирус, не зря он требовал сделать резервные копии".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×