Ransomware - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: Ransomware (/thread-11337.html) |
RE: Ransomware - Apocalypse - 06.02.2018 (06.02.2018, 10:35)morphiusz napisał(a): Idąc tym tokiem rozumowania to wszystkie te płątne pakiety jak BTS czy KIS nie są niczego warte bo nie mają piaskownicy? RE: Ransomware - Quassar - 07.02.2018 Raczej coś bardziej solidnego typu HIPS czy w ostateczności Anti-exe ale piaskownica w pakiecie też była by miła. Emsisoft właśnie ma bardzo agresywnego BB jak nie ma czegoś na białej liście to z góry blokuje i pyta użytkownika o decyzje dzięki temu pomimo słabej wykrywalności uzyskuje 100% w testach o ile użytkownik prawidłowo zareaguje na zagrożenie(komunikat) Jedyny pakiet który ma to wszystko na pokładzie i działa na wysokim poziomie to tylko Comodo.Choć nie przepadam za tą firmą. RE: Ransomware - Tibu 11 - 07.02.2018 Piaskownice jeszcze mają Avast IS i Chinczyk RE: Ransomware - Cascudo - 07.02.2018 Nie zapomnijmy, że Taki Eset ma Hips`a i to dość czułego... Tak jak pisze Adrian s.c gdyby ludzie nie bali się pogrzebać w ustawieniach (siłą rzeczy uczyliby się funkcji danego programu) to odsetek zainfekowań byłby sporo mniejszy. Osobiście nie ważne jaki AV używam/używałem od ką pamiętam to ustawiałem na max. Wolę mieć więcej FP (ale szczerze to jakoś mi się nie zdarzają) niż niższy stopień zabezpieczeń. Tak na marginesie to przy każdym pakiecie IS polecam ustawić firewall na pytaj, czasem może być to ostatnia linia obrony. RE: Ransomware - Apocalypse - 08.02.2018 Ja bym właśnie ustawił firewall na "nie pytaj tylko blokuj wszystkie nieznane połączenia". Co do ustawiania programów na max to potrafi być to naprawdę irytujące jak taki HIPS wali komunikatami. Myślę, że w tej sytuacji opytmalna jest jednak piaskownica. Mało komunikatów + domyślnie blokowane nieznane programy. RE: Ransomware - Quassar - 08.02.2018 Zgadzam sie z Apocalypse Piaskownica i dodatkowe restrykcje na pliki wykonywalne a baza danych... Sporo programów ma domyślnie pełny dostęp do zasobów których nie potrzebuje a w razie infekcji taki program może zostać wykorzystany jako furtka do infekcji zasobu danych. RE: Ransomware - morphiusz - 08.02.2018 (06.02.2018, 13:05)Apocalypse napisał(a): Nie chodzi tu o brak piaskownicy per se - chodzi o domyślne uruchamianie nieznanych plików z pełnią praw do robienia czegokolwiek. Default Deny może traktować potencjalnie niebezpieczne pliki piaskownicą, może całkowicie blokować ich uruchamianie, może nakładać ograniczenia (albo i ograniczenia + piaskownica). Wydaje się też, że cechą rozwiązania Deafult Deny jest jego automatyzm lub półautomatyzm - stąd trudno nazwać HIPS rozwiązaniem Deafult Deny. Bo tutaj Deny nie jest deafult, tylko zależne od użytkownika Deafult Deny to np. automatyczna piaskownica czy anti-exe. Tak jak już wspomniano, wiele tych pakietów umożliwia konfigurację, która zrobi z nich rozwiązania oparte na DD. Jednak niewiele jest rozwiązań (a z tych popularniejszych to tylko Comodo), które politykę DD stosują jako rozwiązanie w konfiguracji domyślnej (co ma swoje wady i zalety). RE: Ransomware - ichito - 10.02.2018 @morphiusz OSArmor od NVT z ostatnio rozwijanych aplikacji to wg mnie właśnie przykład realizowania polityki "dafault-deny". Oczywiście najnowsze wersje już wprowadzają możliwość wyłączania ochrony na czas np. instalacji czy aktualizacji, czy wyłączeni całego modułu "anti-exploit", ale zasadniczo wszystkie 3 pozostałe panele są zafiksowane na "blokuj" we wszystkich akcjach. Odnośnie blokerów behawioralnych o "obowiązkowości" posiadania sygnatur...tu się niezgodzę, bo klasyczne BB jak DSA, TF czy Mamutu nie miały sygnatur i choć mogły wspomagać się decyzjami społeczności (TF i Mamutu), to obywały się bez tego całkiem dobrze. Każdy z nich działał inaczej i trudno doszukiwać się podobieństw DSA - zużycie CPU TF - heurystyka Mamutu - lista kontrolowanych akcji. Zgadzam się odnośnie HIPS - co prawda niektóre pozwalały na domyślne blokowanie niektórych działań/procesów jak SSM na przykład, ale reguła jest interakcja z użytkownikiem i na podstawie jego decyzji tworzenie reguł. RE: Ransomware - morphiusz - 10.02.2018 Ichito, jeśli nie pasuje Ci moje stwierdzenie „sygnatura rozpoznania” odnośnie blokerów behawioralnych to zastąp sobie to terminem „aktualizacja” lub „nowa wersja”. Bo chyba nie uważasz, ze np. wersja mamutu np z 2011 r wykryje wszystkie podejrzane zachowania dzisiejszego malware? Odpowiedz brzmi nie - bo to co prawda nie w tak dużym stopniu jak skaner AV, ale wciąż, rozwiązanie opierające się na pewnych wzorcach (typu: plik próbuje zmodyfikować wartości rejestru odpowiedzialne za autostart -> pokaz alert). Obecne malware (np fileless malware) wykorzystują techniki, których blokery behawioralne bez aktualizacji wzorów rozpoznania nie ogarniają. Tak samo heurystyka - używa znanych wzorców złośliwego oprogramowania. Jej algorytmy tez musza być aktualizowane aby nadążyć w swoistym wyścigu zbrojeń pomiędzy producentami AV a przestępcami. RE: Ransomware - Quassar - 10.02.2018 To prawda nawet SS ma pare tego typu poprawek z tego 2 wprowadzone za moim zgłoszeniem. RE: Ransomware - ichito - 11.02.2018 (10.02.2018, 16:13)morphiusz napisał(a):No trochę nie pasuje...ale to już tak musi chyba zostać Jestem świadom, że programy starsze i nierozwijane nie są w stanie wykryć niektórych najnowszych wyrafinowanych zagrożeń...ale zdaję sobie sprawę doskonale, że te najnowsze i rozwijane też nie do końca sobie z tym radzą mimo, że oferują "cudeńka" technologiczne. Preferuję aplikacje niesygnaturowe, bo one dają mi większe poczucie kontroli i decydowania o tym, co się dzieje. Może nie są tak wycudowane technologicznie, ale wyznaję zasadę, że w ochronie ważniejsza jest świadomość ewentualnych słabych punktów, niż przeładowanie funkcjami, nad którymi nie jestem w stanie zapanować. RE: Ransomware - Quassar - 11.02.2018 No to trochę jak z antywirusem i testami... jeśli av wykrywa wszystkie próbki z przed połowy roku to nie znaczy że ochroni ci przed nowymi ale z drugiej strony jak po ponad roku dalej połowy próbek nie wykrywa to też nie dobrze świadczy... ale ludzie dalej wychwalają te sztuczne testy AV gdzie dają av z 2 tygodnie na opracowanie szczepionki i po 2 tygodniach piszą że niemal każdy av radzi sobie w 100% A ciekawe co z firmami kto wykasuje te wirusy, przez te parę tygodni może wirus sporo firm powalić RE: Ransomware - Tibu 11 - 11.02.2018 Ja na testy nie patrze , wiem jedno silnik od Comodo mało wykrywa w porównaniu do Arcabita. Pewnie bedziecie pisać że serce w Comodo to nie silnik lecz inne mechanizmy. Wole żeby dobrze chronił przed wirusami jak i przed zaszyfrowaniem plików (Arcabit) RE: Ransomware - Quassar - 11.02.2018 Zgadza się, liczy sie końcowy efekt, a nie początkowa hipoteza... Jeśli dany soft nie spełnia wymogów należy go wymienić na inny lub uzupełnić brak poszczególnych luk innym dodatkowym oprogramowaniem Ogólnie to comodo ma każdy mechanizm z osobna tworzony i razem w pakiecie wrzucony z czego inne IS to zwykle sam AV z BB a reszte warstw to taki lekki pic na wode, niby jest ale jakoś nie funkcjonuje. RE: Ransomware - Tibu 11 - 11.02.2018 Czy Comodo ma w planach dać samą instalkę do sandboxu ? RE: Ransomware - Quassar - 11.02.2018 Nie wiem, ale zawsze możesz zainstalować pakiet i wyłączyć wszystkie funkcje oprócz pożądanej RE: Ransomware - Tibu 11 - 11.02.2018 Dobra |