Азбучные истины

Правила гигиены

добавить в избранное

Азбучные истины

Прочитали: 5591 Комментариев: 63 Рейтинг: 302

25 июля 2016

Прописная, азбучная истина (трюизм) — общеизвестное, банальное знание о чем-либо.

Во многих сказках героя спасают от беды, но в оплату требуют отдать то, что есть у него дома и о чем он не знает. Вы спросите: какое это имеет отношение к антивирусу? Скоро поймете.

Как известно, антивирусное ядро – компонент антивируса, который опознает, но не ловит (см. выпуск «Антивирус – сложный организм») вредоносные файлы (а с недавних пор – и коды) с помощью:

записей в вирусной базе (сигнатур);
функций, хранящих в себе признаки найденных ранее вредоносных файлов;
предположений об угрозах, которые могут появиться в будущем (эвристических технологий).

Таким образом, для опознания вредоносного файла антивирусным ядром нужно, чтобы он был предварительно исследован вирусным аналитиком или похож на ранее проанализированные образцы (и тогда его «поймает» эвристический анализатор).

Антивирусным компаниям требуется постоянно пополнять знания о новых вредоносных программах. Один из способов расширения вирусной коллекции Dr.Web — получение новых образцов от пострадавших в результате действия неизвестной антивирусу вредоносной программы. Те, кто посылает вендорам образцы вредоносных программ, делают это в том числе из желания помочь тем, кого пока не атаковали. Но есть одна и очень большая проблема.

Практика показывает, что большинство пользователей и системных администраторов не готовы к вирусному инциденту.

И мы даже не говорим о наличии (а чаще об отсутствии) в компаниях прописанных и соблюдаемых администраторами процедур при возникновении вирусозависимого компьютерного инцидента (ВКИ).

Уж сколько лет троянцам-шифровальщикам (см. выпуски рубрики «Закодировать все»)! Но до сих пор подавляющее большинство админов не знает, ЧТО нужно присылать в антивирусную лабораторию, чтобы обеспечить вирусным аналитикам возможность расшифровки. Например, сколько зашифрованных файлов нужно прислать на анализ и каким требованиям они должны соответствовать.

Грустно, но на анализ массово присылают… скриншоты с требованиями вымогателей!

Люди поступают так по незнанию, и упрекать их за это сложно, но, увы, эти скриншоты никак не помогут в наполнении вирусных баз.

А еще злоумышленники стараются замести следы — стирают логи (журналы действий), удаляют уже не нужные компоненты вредоносных программ из пораженной системы (например, дропперов). В результате на анализ могут попасть (и попадают) только активные части вредоносной программы, а не те, с помощью которых происходило заражение.

Почему это важно? Приведем пример. Антивирус для операционных систем Android работает с правами обычных программ и не имеет доступа к системным областям. Для доступа к ним устройство нужно «рутовать» (повышать права), что с точки зрения безопасности не есть хорошо (см. выпуск «Рыба гниет с головы — а смартфон с корня»). Но таковы правила игры, установленные разработчиками Android. Зная это, злоумышленники сразу после заражения стирают модули, осуществляющие его. А в нерутованной системе антивирус может предотвратить заражение, только имея данные об этих модулях.

#антивирус #шифровальщик #безопасность

Антивирусная правДА! рекомендует

Будьте готовы к вирусным заражениям заблаговременно!

Заражение пока не известными вредоносными файлами в большинстве происходит в силу нарушения банальных правил безопасности — например, при наличии разрешенного доступа пользователей к файлам, программам и ресурсам, которые обычно им не требуются, или возможности запуска и установки (это разные вещи!) нового ПО.
Храните отчеты в защищенном виде, используйте неудаляемые системы логирования.
Контролируйте установку и удаление нового ПО.
Чтобы вирусные аналитики «Доктор Веб» могли вам помочь в расшифровке, знайте, ЧТО нам нужно для анализа ситуации, предшествующей заражению.

PS. Ах да, о сказке. Отдать неведомое просит, конечно же, сотрудник техподдержки «Доктор Веб» у пользователя ☺.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Sergey
07:28:27 2020-03-18

Авторам спасибо за полезные и нужные советы. Возьму себе на вооружение.

Денисенко Павел Андреевич
14:19:01 2018-08-04

С Dr.Web мы всегда готовы к любым вирусным атакам.

ka_s
20:41:54 2018-07-10

"Контролируйте установку и удаление нового ПО". Не понятно, что имеется ввиду в части "удаления нового ПО".

alex-diesel Собкор
18:27:07 2018-03-13

Грамотность плачевна, профессионализм и даже элементарного смысла не хватает у очень многих.
все на борьбу с безграмотностью, тупостью и ленью!!

Toma
17:23:02 2018-01-31

Советы очень полезные! Буду соблюдать.

Шалтай Александр Болтай Собкор
17:14:08 2017-01-13

— Когда в споре рождается истина? — Когда в спор вступает начальник.

kyha4
10:11:58 2016-10-07

Азбучные не значит тривиальные.

Helen
12:21:09 2016-10-06

nice)

2018
20:50:42 2016-07-29

Для отправки файлов нужен еще и интернет. У меня на 128 кбит/сек.

Неуёмный Обыватель Собкор
20:09:22 2016-07-29

Интересная сказочка :) С удовольствием ознакомился со всеми выпусками, вышедшими за время моего отсутствия

razgen Собкор
23:31:13 2016-07-25

Необходимо соблюдать хотя бы банальные правила безопасности.

Andromeda
23:23:56 2016-07-25

Спасибо за сказку.

Б...а
22:43:43 2016-07-25

скриншоты?

vla_va
22:40:34 2016-07-25

Истины - учить!

В...а
22:38:10 2016-07-25

Похвально просвещение

Альфа
22:03:37 2016-07-25

Спасибо за предупреждение, но лучше в такие ситуации не попадать.

НинаК
21:50:15 2016-07-25

так и будет дальше

ek
21:24:47 2016-07-25

намек понят

kva-kva
21:10:46 2016-07-25

как обычно

Dvakota
21:03:24 2016-07-25

Буду теперь в курсе .

mk.insta
20:58:46 2016-07-25

мир таков

tosya
20:23:14 2016-07-25

Спасибо! Учту!

La folle
18:28:52 2016-07-25

С интересом прочла,спасибо!

Deniskaponchik Собкор
17:41:09 2016-07-25

Сам работаю админом. Действительно, никаких процедур по ВКИ нет в компании.

bob123456 Собкор
15:56:20 2016-07-25

@GREEN, Вот кстати да. Ведь многие становятся системными администраторами даже не имея соответствующего IT-образования! То что человек сам обучился профессии - это очень хорошо, но ведь без специальных знаний далеко не уедешь...

bob123456 Собкор
15:51:56 2016-07-25

@kindergod, А если ещё в вещдоке найдётся пара-тройка нелицензионного софта, то вообще неприятностей не расхлебаешь. Ведь многие грешат этим. Так что ещё один стимул переходить на исключительно лицензионное ПО, чтобы быть чистым перед законом (ну и для очистки совести).

bob123456 Собкор
15:48:18 2016-07-25

А есть ещё целая куча пользователей, которые и не догадываются что заражены и являются, например, частью бот-сети. Если системные администраторы во многих случаях не знают как реагировать на те или иные вирусные инциденты, то что уж можно говорить о простых смертных пользователях.

azimut
14:02:14 2016-07-25

Пока без инциндентов.

samox
13:33:24 2016-07-25

Соблюдайте правила гигиены!

Voin sveta Собкор
13:24:12 2016-07-25

Как обычно - кратко, ясно, понятно и полезно. Спасибо

amonn
13:23:56 2016-07-25

Азбучные истины...

DrKV Собкор
13:14:50 2016-07-25

@maghan, похоже, у Вас в полиции знакомых нет. Они бы Вам популярно объяснили, когда займутся шифровальщиками. :)
Действительность сурова, но она действительность. Возможно в 22 веке этих проблем не будет.

tigra Собкор
12:47:11 2016-07-25

как говорится, держи ухо востро!

Viktoria
12:34:06 2016-07-25

Быть готовым к заражению надо всегда, спасибо за инструкцию о том как надо действовать в такой ситуации.!

Azat
12:28:52 2016-07-25

Алгоритм действий должен быть продуман, спасибо за рекомендации.

Hazal
12:22:12 2016-07-25

Буду следовать рекомендациям.

Дмитpий Собкор
12:10:00 2016-07-25

Это хорошо, что ещё скринить не разучились, надо же с чего-то начинать :)

ada
11:52:35 2016-07-25

Да, скриншопы от Админов- это круто.

Damir Собкор
11:46:26 2016-07-25

Правильная статья.

kindergod
10:53:34 2016-07-25

@maghan, на форуме есть ветка на эту тему - многие не рискуют обращаться в полицию - т.к. нужно сдавать вещдок на экспертизу - зараженный комп - это на долго и с неизвестным результатом.

Имеются и другие слухи и предположения - http://forum.drweb.com/index.php?showtopic=282975&hl=%D0%BF%D0%BE%D0%BB%D0%B8%D1%86%D0%B8%D1%8E

lev
10:46:19 2016-07-25

«Сказка быль, да в ней намек ! Добрым молодцам урок…»

djabax
10:11:40 2016-07-25

Админы жгут)

Диман
09:36:06 2016-07-25

Спасибо очень интересно !

marisha-san Собкор
09:11:26 2016-07-25

Намёк понятен.

maestro431
09:06:32 2016-07-25

Да, как в сказке!

a13x Собкор
08:40:36 2016-07-25

Спасибо. Обязательно возьмем на вооружение!
По поводу скриншотов - повеселили :)

Sergano
08:04:36 2016-07-25

Спасибо, будем знать

Б...а
07:45:19 2016-07-25

Очень своевременная информация.

maghan Собкор
07:44:22 2016-07-25

Почему правоохранительные органы не отрабатывают по "шифровальщикам". В стране действительно много пострадавших. Или просто мы не знаем всей информации. Но, пока что оглашения о раскрытии каких то группировок в этой сфере нет.

Luger Собкор
07:39:10 2016-07-25

Защищен тот,кто предупрежден.Надо быть готовым и знать алгоритм действий в случае заражения.Спасибо зо информацию.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Азбучные истины

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей