Aizsardzība pret šifrētājvīrusiem

Īpaša aizsardzība pret šifrējošo ļaunprogrammatūru

Šifrējošie izspiedējvīrusi jau vairākus gadus ir viens no galvenajiem kiberapdraudējumiem un ik dienas mēs uzzinām par jauniem uzbrukumiem, jauniem izspiedējvīrusiem vai to versijām un, diemžēl, arī upuriem, no kuriem kibernoziedznieki pieprasa samaksu par nošifrēto datu atgūšanu. 

Tagad kiberizspiedēji arvien biežāk nolūko lielus mērķus, iefiltrējas to datortīklos, lejupielādē konfidenciālus datus un tikai pēdējā uzbrukuma fāzē veic datu šifrēšanu. Izpirkuma summas, kas tiek pieprasītas par datu atšifrēšanas atslēgu, pie viena dažkārt piedraudot publiskot konfidenciālus datus, mēdz sasniegt vairākus miljonus un pat desmitus miljonu ASV dolāru. Diemžēl pret šādiem uzbrukumirm vairs nedarbojas tāds līdzeklis kā datu rezerves kopiju veidošana, jo publiskoti dati nozīmē ne vien sabojātas reputācijas un komercnoslēpumu izpaušanas riskus, bet arī var novest pie ievērojamas soda naudas, ja kibernoziedznieku publicētajā informācijā būs cietušā uzņēmuma klientu personas dati.

Tāpēc Kaspersky drošības produktos jau ilgāku laiku ir ietvertas īpašas tehnoloģijas, kuru uzdevums ir nepieļaut datu nošifrēšanu. Pateicoties šim unikālo tehnoloģiju apvienojumam, Latvijā un citur pasaulē starp Kaspersky produktu lietotājiem, kuri ir korekti izmantojuši to sniegtās iespējas, praktiski nav bijis cietušo šifrējošo izspiedējvīrusu uzbrukumos! Un tā nav nedz maģija, nedz sazvērestība, kā dažkārt ir izteikušies speciālisti, redzot, ka atšķirībā no citu antivīrusu lietotājiem Kaspersky piekritēji paliek neskarti šifrējošo izspiedējvīrusu uzbrukumos. Tās vienkārši ir Kaspersky izstrādātāju izgudrotas un realizētas tehnoloģijas!


Kādos produktos ir ietvertas īpašas tehnoloģijas šifrējošo izspiedējvīrusu uzbrukumu novēršanai?

Īpašas šifrējošās ļaunprogrammatūras apkarošanas tehnoloģijas ir ietvertas tekošajās versijās sekojošos zemāk uzskaitītajos produktos* Windows operētājsistēmai vai to komponentēs Windows operētājsistēmai.

Personālie produkti:
Mazā biznesa produkti:
Korporatīvās aizsardzības produkta Kaspersky Endpoint Security for Business komponentes:
Korporatīvās aizsardzības produkti:
* Visiem produktiem ir pieejams 30 dienu bezmaksas pilnfunkcionāls izmēģinājums ar vietējo tehnisko atbalstu, lejupielādējot personālos un mazā biznesa produktus vai pieprasot izmēģinājumu korporatīvajiem produktiem.


Kā darbojas System Watcher, kas ir ietverts personālajos un mazā biznesa produktos?

Kaspersky Lab vienā dienā apstrādā virs 300 000 jaunu ļaunprogrammatūras paraugu. Pie tik milzīga jauno ļaunprogrammu pieplūduma antivīrusu kompānijām ļoti bieži ir jāspēj aizsargāt savu produktu lietotājus pret ļaunprogrammām, kas viņiem vēl nav zināmas. Pēc analoģijas ar reālo pasauli tas būtu tāpat kā identificēt noziedznieku pirms ir iegūti viņa pirkstu nospiedumi, fotogrāfija un citi dati. Kā to paveikt? Uzraugot un analizējot uzvedību. Tieši ar to arī nodarbojas Kaspersky produktos iebūvētā datorsistēmu nepārtraukti uzraugošā komponente ar nosaukumu System Watcher (Sistēmas pārraugs).

System Watcher uzrauga sistēmā notiekošos procesus un detektē ļaundabīgas darbības, izmantojot uzvedības secību signatūras Behaviour Stream Signatures (BSS) un tādējādi ļaujot atklāt un apturēt pilnīgi jaunu un nezināmu ļaunprogrammu darbību, vadoties pēc to uzvedības. Tomēr tas nav viss. Kamēr kļūst pilnīgi skaidrs, ka kāda programma ir ļaundabīga, tā var paspēt šo to sastrādāt. Tāpēc vēl viena no System Watcher īpatnībām ir spēja atritināt atpakaļ ļaunprogrammas veiktās izmaiņas sistēmā.

Lai spētu atritināt atpakaļ jaunas šifrējošās ļaunprogrammas veiktās izmaiņas, Kaspersky ir izstrādājuši šifrējošo vīrusu apkarošanas apakšsistēmu, kura veido failiem rezerves kopijas, ja tos atver aizdomīga programma, un vēlāk tos nepieciešamības gadījumā aizvieto ar saglabāto kopiju. Līdz ar to, pat ja šifrējošais vīruss ir jauns jeb antivīrusam nav tā “pirkstu nospiedumu” un tas netiek identificēts arī ar citiem mehānismiem, System Watcher detektē to pēc uzvedības un ar jau minēto šifrējošo vīrusu apkarošanas apakšsistēmu atgriež datorsistēmu stāvoklī, kāds tai bija pirms ļaundabīgā procesa darba sākuma.

Nezināmas šifrējošās ļaunprogrammas atpazīšanu pēc uzvedības, tās darbības apturēšanu un ļaunprogrammas veikto izmaiņu atritināšanu jeb nošifrēto failu nomaiņu atpakaļ ar nešifrētām failu kopijām var redzēt zemāk atrodamajā demonstrācijas video.




Te ir jāpaskaidro, ka konkrētam lietotājam līdzīgas situācijas notiek ļoti ļoti reti, jo informācija par katru šādu incidentu ar nepazīstamu ļaunprogrammu sekundes daļās nonāk mākonī Kaspersky Security Network un citi Kaspersky risinājumu lietotāji turpmāk ir aizsargāti pret jauno apdraudējumu ar agrīnās detektēšanas sistēmu. Tas nozīmē, ka jebkurš tālāks mēģinājums aktivizēt ļaunprogrammu no Kaspersky lietotāju puses tiks bloķēts jau ar agrīno signatūru. Tieši ar šādu unikālu mehānismu darbību ir izskaidrojams fakts, ka Latvijā praktiski nav bijis cietušo starp jaunāko Kaspersky risinājumu lietotājiem, jo tas darbojas kā globāla imūnsistēma visiem 400 miljoniem Kaspersky lietotāju visā pasaulē!


Kas vēl jāzina par System Watcher?

Svarīgi!
Nav ieteicams atspējot System Watcher, jo tas ļoti būtiski pazemina produktu sniegto aizsardzības līmeni.

System Watcher atbilstoši ražotāja noteiktajiem sākotnējiem iestatījumiem ir iespējots pēc noklusējuma. Lietotājam pēc produktu uzstādīšanas nav jāveic nekādas papildus darbības, lai izmantotu augstāk aprakstītās tehnoloģijas.


Biznesa produktos ietverto tehnoloģiju video demonstrācijas

Tāpat kā System Watcher personālajos un mazā biznesa produktos, korporatīvajos produktos ir virkne komponenšu, kas darbojas līdzīgi, neļaujot šifrējošajai ļaunprogrammatūrai nošifrēt failus.




Papildus ir arī Anti-Cryptor komponente, kas ietverta Kaspersky Security for Windows Server.