Наткнулся на одну статью, где описывалась работа злоумышленников по
распространению вирусов шифровальщиков и последующему требованию выкупа.
Меня в ней заинтересовало несколько моментов:
1. В настройках шифровальщика могут быть указаны директории, файлы в которых не шифруются. Например,
2. Могут быть заданы имена файлов, которые не шифруются. Например,
3. Может быть указан список расширений, файлы с которыми не шифруются.
Например,
Это навело меня на мысль, что можно реализовать дополнительную меру защиты от данного типа угроз, путём хранения бэкапов в указанных директориях и присвоением файлам бэкапов (или их архивам) имён/расширений из этого списка.
В статье ничего не говорилось, про анализ вирусом размера файлов перед их шифрованием, поэтому это может сработать.
Ещё там был отмечен момент с шифрованием виртуальных машин. Я до этого думал, что занятый процессом файл нельзя зашифровать, и поэтому на запущенные виртуальные машины эта угроза не распространяется. Оказалось, что злоумышленники нашли способ это обойти. Для этого виртуальные машины предварительно останавливаются через командную оболочку гипервизора, потом шифруются. Например, для остановки виртуальных машин в Hyper-V есть команда:
распространению вирусов шифровальщиков и последующему требованию выкупа.
Меня в ней заинтересовало несколько моментов:
1. В настройках шифровальщика могут быть указаны директории, файлы в которых не шифруются. Например,
windows, program files, program files (x86), programdata, all users.2. Могут быть заданы имена файлов, которые не шифруются. Например,
autorun.inf, boot.ini, desktop.ini, ntuser.dat, ntuser.ini, thumbs.db.3. Может быть указан список расширений, файлы с которыми не шифруются.
Например,
ani, bat, bin, cab, cmd, dll, exe, lnk, sys, msi.Это навело меня на мысль, что можно реализовать дополнительную меру защиты от данного типа угроз, путём хранения бэкапов в указанных директориях и присвоением файлам бэкапов (или их архивам) имён/расширений из этого списка.
В статье ничего не говорилось, про анализ вирусом размера файлов перед их шифрованием, поэтому это может сработать.
Ещё там был отмечен момент с шифрованием виртуальных машин. Я до этого думал, что занятый процессом файл нельзя зашифровать, и поэтому на запущенные виртуальные машины эта угроза не распространяется. Оказалось, что злоумышленники нашли способ это обойти. Для этого виртуальные машины предварительно останавливаются через командную оболочку гипервизора, потом шифруются. Например, для остановки виртуальных машин в Hyper-V есть команда:
Stop-VM -Name VM1 -TurnOff -Confirm:$false👍4
Анализ сетевого трафика при помощи ИИ
В межсетевом экране от UserGate есть возможность записывать сетевой трафик. Например, так можно выявить причины проблем с работой различных веб-сервисов. Вот только анализировать записанный трафик не всегда простая задача. Вот тут на помощь может придти ИИ - https://sysadminchik.ru
В межсетевом экране от UserGate есть возможность записывать сетевой трафик. Например, так можно выявить причины проблем с работой различных веб-сервисов. Вот только анализировать записанный трафик не всегда простая задача. Вот тут на помощь может придти ИИ - https://sysadminchik.ru