Végre megtalálták a zsarolóvírusok univerzális ellenszerét
2017-10-22T12:34:09+02:00
2017-10-28T20:58:55+02:00
2022-07-21T11:06:49+02:00
  • A BitLocker nem fájl, hanem kötet szinten dolgozik. Így arra biztosan nem fog visítani semmilyen olyan védelem, ami a fájlok tömeges módosítását figyeli.

    De ha nem így lenne, akkor is nyilván úgy írnák meg a vírusirtót, hogy felismerje az operációs rendszerbe épített és/vagy legitim titkosítóprogramokat (mint pl. a BitLocker), és azok működését engedélyezze.
    Mutasd a teljes hozzászólást!
  • Az univerzális virusölő, mert épp titkosítasz BitLockerrel
    Mutasd a teljes hozzászólást!
  • Egyrészt ami az egész vinyót blokkolja MFT szinten, ott nem lesz semmilyen szinkronizálás, mivel az újraindulás után az OS el se indul.
    Másrészt ha a felhőben van verziókezelés, akkor az megőrzi a jó "verziót" is.

    Persze ha semmivel nem védekezik a felhasználó, akkor megszívta, de akkor nem is csoda.
    Mutasd a teljes hozzászólást!
  • A felhőt nem tudja lekódolni a vírus. (Többnyire )

    Nem is kell neki tudni. Ezt a problémát megoldja az adatszinkronizáció, némi fáziskéséssel.
    Mutasd a teljes hozzászólást!
  • ezek a fajta titkosítások transzparensek az OS számára, az OS , felcsatolt állapotban a titkosítási frame belső keretét kapja meg, ezáltal az az alól kezelt fájlrendszert tudja maximum b*zerálni bármilyen program, a titkosítási frameet kívülről max lezárt állapotban vagy a kernelmodulként beépülő .dll módosításával/használatával lehetne...

    a titkosítási frame ezáltal -önmagában- NEM NYÚJT védelmet - pontosan ezen transzparenciája miatt - zsarolóvírusok ellen.. lezárt állapotban pedig maga a konténerfájl titkosítható általuk.. ami még rosszabb.. mert ekkor elég egy darab fájlt, egyetlen byte-on megváltoztatni, a működésképtelenséghez.

    jóval megbízhatóbb védelmet nyújt, az hogy felhasználói fiókból végzünk minden netes nevékenységet, és/vagy megfejelve egy(-két,-há,-négy) komplett virtuális os-sel
    Mutasd a teljes hozzászólást!
  • Mi fog vinnyogni?
    Mutasd a teljes hozzászólást!
  • Az újabb zsarolóvírusok meg nem a fájlokat titkosítják, mert az sokáig tart, hanem egyben a lemez adminisztrációs részét.

    És majd amikor pl egy pendrive-ot titkosítasz mondjuk Bitlocker-el vagy bármely alternatívával, akkor folyamatosan vinnyogni fog
    Mutasd a teljes hozzászólást!
  • A vírus sem "változtatja" a fájlt (azaz megnyitja és felülírja), hanem egy újba írja a titkosított tartalmat, majd az eredetit törli.
    Mutasd a teljes hozzászólást!
  • Szerinted. Szerintem, meg pl. egy hétvégi fejlesztés után több száz állományt szinkronizálok. És van amikor ennél durvább a helyzet.

    Többszáz fájlt változtatsz ilyen rövid idő alatt? Na ez az, ami nem tipikus.

    Csak a szinkronizálós pendrive-omon 95.000 fájl van.

    Létezés != változás - hogy egy klasszikusra utaljak 
    Mutasd a teljes hozzászólást!
  • Ha jobban belegondolunk, a fő folyamat először egy alfolyamattal külön tesztelheti, hány fájl feldolgozás alatt nem lövi ki a G-DATA védelme, azaz még automatizálható is a dolog.

    Ha kilövi a folyamatot, arról értesíti a felhasználót egy ablakban és onnan már lebukott a vírus.

    Vagyis a világ összes Linux-os NAS-án tárolt összes cucc továbbra is védtelen.

    Kivéve, ha snapshot-ot használ, akkor nem vesznek el az adatok.

    A szintén Linux-on hosztolt felhőben tárolt adatok is mehetnek a levesbe.

    A felhőt nem tudja lekódolni a vírus. (Többnyire )
    Mutasd a teljes hozzászólást!
  • Ezt értem. De nem a NotPetya-nak kellene ez ügyben gondolkodnia. 
    Mutasd a teljes hozzászólást!
  • Biztos csak én vagyok ezzel ennyire szkeptikus, de szerintem ez nem fogja megváltani a világot a zsarolóvírusok ellen.

    Ez a technológia azt monitorozza, hogy a számítógépen tárolt fájlokat akarja-e tömegesen megváltoztatni bármilyen külső alkalmazás.

    Az a kérdés, mit nevezünk "tömegesnek". Mondjuk adott 1.000 fájl egy könyvtárban. A zsarolóvírus fork-olja magát külön folyamatba, és az új, gyermekfolyamat csak az első 5 fájl megváltoztatását végzi. Közben a fő folyamat nem kódol le semmilyen fájlt, hanem újra és újra fork-olja magát, és minden egyes alfolyamat csak a rá eső 5 fájllal foglalkozik. Azaz 1 folyamat a fork-oló, és 200 fork-olt meg dolgozik, egyenként nem tömeges fájlokon. Mivel a G-DATA védelme nem észleli a tömeges fájlmódosítást (hisz egy folyamat csak alig pár fájllal dolgozik), semmit sem ér az egész. És a "szép" az egészben az, hogy a G-DATA rendszere a fő folyamatot sem lőné ki, hiszen az tulajdonképpen egyetlen fájlt sem módosít. Ja, és hab a tortán, hogy ezzel a módszerrel a WannaCry-hoz hasonló zsarolóprogramok egyben meg lesznek tanítva a többprocesszor(mag)os párhuzamos optimalizációra is, hiszen a fő folyamatnak nem kell megvárnia, amíg egy fork-olt alfolyamat befejezi a titkosítást, akár szinte egyszerre is indíthat 200 alfolyamatot. Sőt! Ha jobban belegondolunk, a fő folyamat először egy alfolyamattal külön tesztelheti, hány fájl feldolgozás alatt nem lövi ki a G-DATA védelme, azaz még automatizálható is a dolog. Szóval szerintem ez így szép próbálkozás, de csak pár napig kell várni, mire immunisak lesznek rá a zsarolóprogramok.

    A német G DATA többévnyi fejlesztés után, dedikált zsarolásvédelmi modul rakott az összes windowsos termékébe.

    Vagyis a világ összes Linux-os NAS-án tárolt összes cucc továbbra is védtelen. A szintén Linux-on hosztolt felhőben tárolt adatok is mehetnek a levesbe. Hát.....
    Mutasd a teljes hozzászólást!
  • Egyetlen program vagy app nem rendelkezhet az ehhez való jogosultsággal.

    A NotPetya nem így gondolja. A "Működési mód" részt olvasd el!
    Mutasd a teljes hozzászólást!
  • Szerintem a tipikus szinkronizálás elég csekély mennyiségű fájl megváltoztatásával jár (már létezőké).

    Szerinted. Szerintem, meg pl. egy hétvégi fejlesztés után több száz állományt szinkronizálok. És van amikor ennél durvább a helyzet. Csak a szinkronizálós pendrive-omon 95.000 fájl van.

    Ami adminként fut

    Azzal még elbírnak a víruskeresők.
    Mutasd a teljes hozzászólást!
  • Igazad van, használjon mindenki Windows XP-t víruskereső nélkül még 2040-ben is, az a jó!
    Mutasd a teljes hozzászólást!
  • Az újabb zsarolóvírusok meg nem a fájlokat titkosítják, mert az sokáig tart, hanem egyben a lemez adminisztrációs részét.

    Ez op.rendszer hiányossága. Egyetlen program vagy app nem rendelkezhet az ehhez való jogosultsággal.
    Mutasd a teljes hozzászólást!
  • már szinte látom magam előtt a heurisztikákat felismerő heurisztikus algoritmusokat és természetesen a heurisztikákat felismerő heurisztikákat felismerő heurisztikákról se feledkezzünk meg, természtesen szintenként mindössze egy-egy petahertz-nyit feláldozva gépünk órajeléből ..     
    Mutasd a teljes hozzászólást!
  • Ez valószínűleg nem ilyen egyértelmű. Szerintem a tipikus szinkronizálás elég csekély mennyiségű fájl megváltoztatásával jár (már létezőké).
    Az viszont tény, hogy ez leginkább a tenyeres-talpas, pl. "tölts-le-engem-és-futtass-légyszi", meg csatolmányként terjedő vírusok ellen lehet hatásos. Ami adminként fut és pláne ami bootolás közben alkot, azzal nem biztos, hogy megbírkózik.
    Mutasd a teljes hozzászólást!
  • Ez a technológia azt monitorozza, hogy a számítógépen tárolt fájlokat akarja-e tömegesen megváltoztatni bármilyen külső alkalmazás.

    Tudom, ez egy fizetett hirdetés, de érdekes lesz, amikor a külső adathordozóról vagy felhőből szinkronizálunk valamit és rögtön beriaszt a rendszer.
    Az újabb zsarolóvírusok meg nem a fájlokat titkosítják, mert az sokáig tart, hanem egyben a lemez adminisztrációs részét. Azzal meg nem tud mit kezdeni.
    Maradok a mini szervernél óránkénti snapshot-tal. Ahhoz nem fér hozzá a vírus, plusz a mentés is megvan, meg a netes elérés.
    Mutasd a teljes hozzászólást!
abcd